A várakozásokkal ellentétben már ma megjelent az OpenSSH javított verziója

[LWN.net, ISS.net] A várakozásokkal ellentétben már ma közzétették az OpenSSH fejlesztői annak a hibának a rövid leírását, amely két napja lázban tartja a szabad szoftverek híveit. A részleteket persze még most sem lehet pontosan tudni, a probléma állítólag az SSH2-es protokollt kezelő rész inputellenőrzésének a kódjában van, bizonyos esetekben túlcsordulhat egy integer változó, és ez okozza a távoli sebezhetőséget. Az OpenSSH 2.9.9-es verziójától a 3.3-asig mindegyik kiadás tartalmazza a hibát, ezért javasolt a mielőbbi frissítés a néhány órája megjelent 3.4-es verzióra. A 3.2-es verziótól kezdve a szoftverben létezik egy új lehetőség (a Privilege Separation bekapcsolása az sshd_config fájlban), amellyel meg lehet kerülni a problémát.

[LWN.net, ISS.net] A várakozásokkal ellentétben már ma közzétették az OpenSSH fejlesztői annak a hibának a rövid leírását, amely két napja lázban tartja a szabad szoftverek híveit. A részleteket persze még most sem lehet pontosan tudni, a probléma állítólag az SSH2-es protokollt kezelő rész inputellenőrzésének a kódjában van, bizonyos esetekben túlcsordulhat egy integer változó, és ez okozza a távoli sebezhetőséget. Az OpenSSH 2.9.9-es verziójától a 3.3-asig mindegyik kiadás tartalmazza a hibát, ezért javasolt a mielőbbi frissítés a néhány órája megjelent 3.4-es verzióra. A 3.2-es verziótól kezdve a szoftverben létezik egy új lehetőség (a Privilege Separation bekapcsolása az sshd_config fájlban), amellyel meg lehet kerülni a problémát.

A friss OpenSSH a www.openssh.org-ról tölthető le, a következő néhány napban várhatóan minden nagyobb szoftvercég előáll a saját rendszereihez készített OpenSSH 3.4 frissítéssel. A probléma az összes BSD rendszert érinti, a PAM-ot (Pluggable Authentication Modules) alkalmazó rendszereken (a legtöbb Linux ilyen) a hiba kihasználhatóságát még nem erősítették meg.