2018-10-17 14:34

Fyra år gammalt säkerhetshål i SSH upptäckt

Libssh.org har upptäckt en fyra år gammal bugg i SSH. Buggen är allvarlig, men påverkar endast ett fåtal system.

Secure Shell (SSH) används av Unix- och Linux-system för säker inloggning och autentisering. En bugg i biblioteket libssh har lyckats undgå upptäckt tills igår, då utvecklingsgruppen bakom libssh (libssh.org) gick ut med ett rådgivande uttalande.

Buggen introducerades 2014 i ssh-versionen 0.6 och ses som ett tämligen enkelt fel i koden, lätt att exploatera. Många kommentatorer är därför förvånade över att den lyckats undgå upptäckt så länge, samtidigt som buggen ses som mycket allvarlig. Den medför att en angripare ganska enkelt kan ta kontroll över en server. Buggen finns endast på serversidan, och inte på klientsidan, skriver Ars Technica.

Läs också: TLS 1.0 och 1.1 går i graven

Buggen gör det möjligt för en angripare att logga in på en server genom att presentera meddelandet SSH2_MSG_USERAUTH_SUCCESS istället för det korrekta SSH2_MSG_USERAUTH_REQUEST.

Detta kallas ibland för Jedi-tricket, och senast ett liknande fall sågs var för elva månader sen då Mac OS X kunde släppa in en admin-användare utan lösenord.

Det positiva i detta fall är dock att det troligen endast är ett fåtal system som påverkas. Av vad som framkommit hittills har inga mer kända system påverkats. Buggen libssh, vars kod betecknas som CVE-2018-10933, kan inte påverka system från OpenSSH eller Github.

Github, som förvisso använder libssh, har utvecklat en specialversion av libssh som inte använder autentiseringsmekanismerna i libssh. Med OpenSSH och Github ute ur bilden återstår endast ett fåtal system ute på marknaden. Github meddelar på Twitter att de trots allt har publicerat en uppdatering som tar bort buggen, trots att de alltså inte påverkas.

Läs också: Bott twittrar svordomar från Github

De som kan ha buggen i sina system, och alltså legat öppna för sårbarheten i fyra år, rekommenderas att uppdatera sina system samt genomföra en grundlig analys av sina system. En sökning på Shodan visar att 122 system i Sverige kan vara påverkade, men det ger bara en fingervisning.

Byt erfarenheter inom programmering med branschkollegor på Code Night #13 - Säkerheten sitter i koden. Läs mer och boka din plats här.

Lars Dobos

Senaste nytt

2023-12-01 11:51Computer Sweden Mikael Markander Varning för kritiska sårbarheter i Zyxel NAS
2023-12-01 11:37Computer Sweden Computer Sweden Domare stoppar förbud mot Tiktok i Montana
2023-12-01 11:09Computer Sweden Mikael Markander Apple täpper till allvarliga sårbarheter – uppdatera snarast
2023-12-01 10:05Computer Sweden Marcus Jerräng Här hamnar Microsofts nästa svenska datacenter
2023-12-01 09:07Computer Sweden Karin Lindström Cybersäkerhetskrav på digitala produkter skärps – ny EU-lag snart på plats

100 Senaste

IDG.se

IDG.se är Nordens största nyhetssajt inom it. Här finns nyheter och fördjupning från alla sajter i vårt nätverk.

Chefredaktör & ansvarig utgivare: Marcus Jerräng
Annonsansvarig: Lina Vikman

Computer Sweden | CIO Sweden | IDG.se

Nyttiga länkar

Om

Besöksadress: Magnus Ladulåsgatan 65 106 78 Stockholm Tel: 08-453 60 00

Foundry

Sajter om it & teknik

CIO SwedenIt-strategi, affärsnytta och kundrelationer.
Computer SwedenDagliga nyheter om it, telekom och affärer.
IDG.seDe viktigaste nyheterna från sajterna i vårt nätverk.
M3Sveriges prylsajt.
MacWorldAllt om Mac, OS X, Iphone och Ipad.
PC för AllaSveriges största och mest lästa datortidning.
SmartworldDin guide till det smarta hemmet.

Tjänster

Karriär & ledarskap

Stäng

Meny

IT för proffs

Het teknik

Samhälle & politik

Big Tech

Om

Lars Dobos

Fyra år gammalt säkerhetshål i SSH upptäckt

Lars Dobos

IDG.se

Nyttiga länkar

Om

IDG.se

Nordens största it-nätverk

Foundry

Sajter om it & teknik

Tjänster

Karriär & ledarskap