Lek in open-source encryptieprogramma

In een veelgebruikt open-source versleutelingsprogramma zit een veiligheidslek, zo is door de ontwikkelaar van het programma bekendgemaakt.

Het gaat om Open Secure Shell (Open SSH), dat inmiddels is ingebouwd in vele besturingsprogramma's, waaronder OpenBSD 3.0, OpenBSD 3.1 en FreeBSD-Current. Deze open-source-varianten van Unix worden onder meer gebruikt op netwerkapparatuur en beveiligingstoepassingen.
 
Het lek, waardoor aanvallers via internet naar binnen kunnen 'sluipen' in servers die Open SSH draaien, is ontdekt door het netwerkbeveiligingsbedrijf Internet Security Systems. De kwetsbaarheid uit zich in een inadequate afhandeling van 'buffer overflow'-aanvallen, waarbij een bericht aan het programma wordt gezonden dat veel langer is dan het programma verwacht. De 'extra regels' kunnen worden gebruikt om een gevaarlijke code mee te zenden.
 
De onvolkomenheden zitten in versie 3.0 tot en met 3.2.3 van het programma. Opwaarderen naar een latere versie kan al veel problemen oplossen, maar netwerkbeheerders wordt wel aangeraden om ongebruikte Open SSH-verificatiemechanismes meteen uit te schakelen. Nadere informatie over de kwetsbaarheid van Open SSH is inmiddels rondgestuurd via beveiligings-mailinglijsten als Bugtraq en Debian.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder


Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2002-06-28T00:00:00.000Z Jeroen Bezem
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.