Ernstig beveiligingslek in OpenSSH gepatcht
Er is een ernstig beveiligingslek in OpenSSH gepatcht waardoor een aanvaller in het ergste geval de privésleutels van gebruikers kon stelen. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren.
In de OpenSSH-clientcode vanaf versie 5.4 tot en met 7.1 was experimentele ondersteuning voor het herstellen van ssh-verbindingen toegevoegd, genaamd 'roaming'. De bijbehorende servercode ontbrak echter. In de client stond de optie standaard ingeschakeld. Als de client verbinding met een kwaadaardige of gehackte server maakte, kon vervolgens informatie uit het geheugen van de client naar de server worden gestuurd, waaronder de privésleutels.
Om het probleem te verhelpen is nu OpenSSH 7.1p2 uitgebracht. Daarnaast is er ook een workaround die kan worden ingesteld, zoals Theo de Raadt van OpenBSD op de OpenBSD-mailinglist laat weten. De kwetsbaarheid, die vorig jaar januari aan de code werd toegevoegd, werd ontdekt door beveiligingsbedrijf Qualys en staat bekend onder de code CVE-2016-0777.
zie voor meer info over deze bug: http://undeadly.org/cgi?action=article&sid=20160114142733
Alsof closed software zoveel veiliger is. De grote jongens reageren echt niet veel sneller.
On topic: Het is natuurlijk niet zo dat Open Source intrinsiek veiliger is dan closed source. We hebben bij het Heartbleed lek in OpenSSL wel gezien dat iedereen, inclusief de grote bedrijven, fijn de software op grote schaal wil gebruiken, maar dat er (bijna) niemand, wederom inclusief de grote bedrijven, de moeite neemt om echt naar de source code te kijken. Daar zit het echte probleem, niet in het feit dat source code open is. Maar dat weet u eigenlijk ook wel natuurlijk. ;-)
Groet,
Jeroen
Niet "vorig jaar januari" zoals security.nl beweert.
LOL, tijd voor een nieuwe fork iemand? :P
.
On topic: Het is natuurlijk niet zo dat Open Source intrinsiek veiliger is dan closed source. We hebben bij het Heartbleed lek in OpenSSL wel gezien dat iedereen, inclusief de grote bedrijven, fijn de software op grote schaal wil gebruiken, maar dat er (bijna) niemand, wederom inclusief de grote bedrijven, de moeite neemt om echt naar de source code te kijken. Daar zit het echte probleem, niet in het feit dat source code open is. Maar dat weet u eigenlijk ook wel natuurlijk. ;-)
Jeroen
Dat open source door grote bedrijven als een winstmaker gezien wordt omdat de mensen erachter niet hoeven te betalen is een heel vreemd gedoe. (het is gratis..)
Het was zo verleidelijk. Ik wordt soms wat moedeloos van het constant afgeven bij issues op labels/merken.
Het gaat er om dat de boel beter veiliger, met overwogen privacy, wordt. Dat is op een ander wijze er tegenaan kijken dan een OS of tool of wat dan ook als binding nemen. Ik mis de algemenere achterliggende concepten te vaak.
Nee, nooit ernstige beveiligingslekken, wel NSA/CIA backdoors.
N.B.: ik ben geen Linux fanboy. Ik gebruik gewoon wat (goed) werkt. (En dat is in het verleden een tijdlang Windows geweest, voordat ik iets ontdekte wat (veel) beter werkte en nog robuust en gratis was ook: Debian Linux).
Bij bedrijven proberen ook iets te met "gebruiken wat goed werkt" kom je dan in de data-governance hoek (security) dan is de Unix/Linux opzet bijna rampzalig. Je noemt dat onderwerp "data governance" niet eens voor het echte werk, jammer.
Professionele bedrijven hebben niet met een persoonlijk desktopje te maken maar met vele machines en interacties.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.