OpenSSH 3.4 behebt Sicherheitslücke

maXTC · 26.06.2002, 23:49

OpenSSH 3.4 behebt Sicherheitslücke

Patches für gefährliche Sicherheitslücke in OpenSSH erschienen

Am Dienstag warnte Theo de Raadt vor einer Sicherheitslücke in OpenSSH in den Versionen 2.9.9 bis 3.3. Mittlerweile sind Details sowie Patches hierzu erschienen. Mit OpenSSH liegt zudem eine neue OpenSSH-Version vor, welche die Sicherheitslücke ebenfalls behebt.

Die in OpenSSH enthaltene Sicherheitslücke erlaubt es, Zugang zu fernen Rechnern zu erlangen sofern die "ChallengeResponseAuthentication" aktiviert ist. Demnach bietet auch eine Deaktivierung dieser Funktion in der Datei "sshd_config" Abhilfe.

Die Version 3.4 bietet aber neben der Behebung der geschilderten Sicherheitslücke weitere Verbesserungen, die im Zusammenhang mit dem Bekanntwerden dieses Bugs in den letzten Wochen vorgenommen wurden. Einige Verbesserungen schätzen die Entwickler als wichtige Sicherheits-Fixes ein.

Sowohl OpenSSH 3.4 als auch die erwähnten Patches können von www.openssh.org heruntergeladen werden.

->QUELLE<-

valo · 27.06.2002, 13:53

OpenSSH für Windows v3.4-1

http://www.networksimplicity.com/openssh/

Philipp · 29.06.2002, 14:57

Auch hier gibt es jetzt die ersten Patches:
http://rhn.redhat.com/errata/RHSA-2002-127.html (Red Hat)
http://www.ensim.com/support/wpls/faqs/2.12.html (Ensim WEBpplance)
http://pkgmaster.com/packages/raq/3/#openssh (Cobalt RaQ 3 & 4)

Die Updates für Red Hat (Ensim) wurden als OpenSSH 3.1p1-5 veröffentlicht. Dabei wurde der gepachte Code aus OpenSSH 3.4 rückportiert.

Philipp · 02.07.2002, 10:58

Ein weiteres Update auf 3.4:
http://www.debian.org/security/2002/dsa-134 (Debian)

Zu Mandrake bzw. SuSE findet man nur eine Ankündigung das OpenSSH 3.4 das Problem behebt. Anscheiend dauert es noch eine Weile bis dort das echte Update als RPM erscheint

26.06.2002, 23:49	#1
maXTC Inventar Registriert seit: 02.02.2001 Ort: South Central Alter: 50 Beiträge: 7.248	OpenSSH 3.4 behebt Sicherheitslücke OpenSSH 3.4 behebt Sicherheitslücke Patches für gefährliche Sicherheitslücke in OpenSSH erschienen Am Dienstag warnte Theo de Raadt vor einer Sicherheitslücke in OpenSSH in den Versionen 2.9.9 bis 3.3. Mittlerweile sind Details sowie Patches hierzu erschienen. Mit OpenSSH liegt zudem eine neue OpenSSH-Version vor, welche die Sicherheitslücke ebenfalls behebt. Die in OpenSSH enthaltene Sicherheitslücke erlaubt es, Zugang zu fernen Rechnern zu erlangen sofern die "ChallengeResponseAuthentication" aktiviert ist. Demnach bietet auch eine Deaktivierung dieser Funktion in der Datei "sshd_config" Abhilfe. Die Version 3.4 bietet aber neben der Behebung der geschilderten Sicherheitslücke weitere Verbesserungen, die im Zusammenhang mit dem Bekanntwerden dieses Bugs in den letzten Wochen vorgenommen wurden. Einige Verbesserungen schätzen die Entwickler als wichtige Sicherheits-Fixes ein. Sowohl OpenSSH 3.4 als auch die erwähnten Patches können von www.openssh.org heruntergeladen werden. ->QUELLE<- ____________________________________ A.C.A.B.

27.06.2002, 13:53	#2
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	OpenSSH für Windows v3.4-1 http://www.networksimplicity.com/openssh/ ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

29.06.2002, 14:57	#3
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Auch hier gibt es jetzt die ersten Patches: http://rhn.redhat.com/errata/RHSA-2002-127.html (Red Hat) http://www.ensim.com/support/wpls/faqs/2.12.html (Ensim WEBpplance) http://pkgmaster.com/packages/raq/3/#openssh (Cobalt RaQ 3 & 4) Die Updates für Red Hat (Ensim) wurden als OpenSSH 3.1p1-5 veröffentlicht. Dabei wurde der gepachte Code aus OpenSSH 3.4 rückportiert.

02.07.2002, 10:58	#4
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Ein weiteres Update auf 3.4: http://www.debian.org/security/2002/dsa-134 (Debian) Zu Mandrake bzw. SuSE findet man nur eine Ankündigung das OpenSSH 3.4 das Problem behebt. Anscheiend dauert es noch eine Weile bis dort das echte Update als RPM erscheint

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)