It-alan ironian huippu on se, että usein myös tietoturvatuotteista löytyy tietoturva-aukkoja. Nyt Suomen virallinen tietoturvaviranomainen CERT-FI varoittaa haavoittuvuudesta OpenSSH –protokollassa, joka on ilmainen versio SSH (Secure Shell) -protokollasta.
CERT-FI:n saamien tietojen mukaan lähiaikoina tullaan julkaisemaan OpenSSH -protokollaan liittyvä haavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi saavuttaa mm. tietojärjestelmän ylläpitäjän oikeudet.
CERT-FI:n saamien tietojen mukaan haavoittuvuudelle alttiita tietojärjestelmiä olisivat kaikki muut OpenSSH -versiot paitsi OpenSSH -versio 3.3.
CERT-FI:n mukaan on huomioitavaa, että tietojärjestelmät, joissa Privilege Separation optio on asetettu no-tilaan, ovat haavoittuvia tälle lähiaikoina julkaistavalle haavoittuvuudelle.
Ratkaisu:
Päivitä haavoittuva tietojärjestelmä OpenSSH -versioon 3.3 ja aseta sshd_config -tiedostossa optio UsePrivilegeSeparation yes-tilaan.
OpenSSH:n mukaan piakkoin ilmestyvässä OpenSSH 3.4 -versiossa on kyseinen haavoittuvuus korjattu, ja se tulee näin ollen olemaan turvallinen.
Lisätietoja:
http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-040.php/