Протокол OpenSSH далеко не безопасен!
20 мая 2009, Никонова Екатерина
0
|
Сотрудники колледжа Royal Holloway Лондонского университета сообщили об обнаружении уязвимости в широко используемом протоколе шифрования Open Secure Shell (OpenSSH). Согласно сведениям, полученным от специалистов группы по защите информации колледжа, ошибка в протоколе версии 4.7, входящей в состав дистрибутива Debian Linux, может привести к отображению текста, зашифрованного при помощи 32-битного ключа, в исходном виде.
Профессор Кенни Паттерсон (Kenny Patterson) сообщил, что вероятность успешного взлома с использованием этой уязвимости, которая представляет собой гораздо более серьезную опасность, чем ошибки, обнаруженные ранее, составляет 1 к 262144. "Это конструктивный дефект протокола, тогда как все остальные уязвимости появлялись из-за ошибок программирования", – заявил он.
Атаку типа "man-in-the-middle", при которой злоумышленник перехватывает поток зашифрованных данных, можно осуществить, повторно пересылая блоки данных на сервер. Определив, после какого количества байтов сервер выдаст сообщение об ошибке и прервет соединение, можно вычислить первые четыре байта соответствующего исходного текста. Это становится возможным из-за ошибок в описании протокола SSH в соответствующем стандарте RFC.
Впервые об этой уязвимости стало известно в ноябре 2008 года, однако до 18 мая ее подробности не разглашались. Участники группы по защите информации Royal Holloway совместно с разработчиками OpenSSH провели работы по устранению ошибки, и уже в версии 5.2 протокола она отсутствует. "Протокол исправлен, и для предотвращения атак приняты меры, – признает Кенни Паттерсон, – но сам стандарт остался прежним".
Исследователи считают, что вне лабораторных условий случаев использования обнаруженной уязвимости не происходило, а расшифровка сообщения достаточной длины, чтобы с его помощью можно было передать важную информацию, заняла бы несколько дней. Производители закрытых версий SSH также были оповещены о найденной ошибке и уже принимают меры по устранению опасности, однако обновление как серверных, так и пользовательских систем обычно занимает довольно продолжительное время, независимо от открытости используемого программного обеспечения.
Рекомендуем также почитать
Свежие новости раздела
Google готовит Android 11 и думает о запуске собственного процессора
Google хочет, чтобы новый дизайн платформы напоминал медиаадаптер Chromecast
ТОП-3 тарифов на интернет для загородных домов и коттеджей
ТОП-3 выгодных тарифов на интернет для загородных домов и коттеджей от провайдеров
Zyxel VPN2S – бюджетный межсетевой экран
Межсетевой экран Zyxel VPN2S поступит в продажу в июне этого года
Wrike: сервис для управления проектами
Российским компаниям стал доступен новый сервис для совместной работы над проектами.
NETGEAR M4300 Intelligent Edge: новые корпоративные коммутаторы
Представлена новая серия коммутаторов для корпоративных сетей с опциональной поддержкой POE.
Статьи раздела
-
Аппаратная IP-телефония от Gigaset
Интернет и сети
-
StarBlazer Tandem Ku: обзор двухстороннего спутникового интернета
Интернет и сети
-
Ganz ZN-M2AF: обзор миниатюрной IP-камеры для помещений
Интернет и сети
-
Ganz ZN-DT2MTP-IR: обзор IP-камеры 1080p стандарта IP66
Интернет и сети
-
UPVEL UP-228GE: обзор гигабитного коммутатора PoE+
Интернет и сети
-
Ganz ZN-MD221M: обзор антивандальной купольной IP-камеры 1080р
Интернет и сети
Все свежие новости
Apple обменивается исками с Ericsson, в 2022-м году сохранится дефицит микросхем
Apple обменивается исками с Ericsson, в 2022-м году сохранится дефицит микросхем
ZenFone Max Pro (M1) – новый смартфон от ASUS
ZenFone Max Pro – смартфон с высокой емкостью аккумулятора
ONYX BOOX Note – новый ридер с экраном 10,3"
Букридер с ридер с экраном 10,3" весит всего 325 граммов
Материнские платы ASUS на базе чипсетов AMD серии X470 уже в продаже
В материнские платы ASUS добавлены новые функции тонкой настройки, охлаждения и персонализации
MMO Project Genom – обновление Авалон
Обновление Project Genom – новая территория более 90 квадратных виртуальных километров
Искусственный интеллект научили думать по-собачьи
Ученые разработали систему на базе алгоритмов глубокого обучения, которая может действовать как собака.
Отзывы
0 Оставить отзывДобавить отзыв