Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet, krypto

SR08-311 OpenSSH - Informationsläckage

Sårbarhet kan medge att 32 bitar klartext kan utvinnas ur en SSH-session.

Problembeskrivning

CVE-referens:-

Martin Albrecht, Kenny Paterson och Gaven Watson vid University of London har upptäckt en sårbarhet i OpenSSH. Sårbarheten beror på bristfällig hantering av fel i en SSH-session där en block-kryptoalgoritm brukas i CBC (Cipher-block chaining) mode.

En angripare som har möjlighet att lyssa och modifiera trafik kan utnyttja sårbarheten för att potentiellt utvinna 32 bitar klartext.

Värt att notera är dock att sannolikheten för ett lyckat angrepp är låg.

Andra implementationer av SSH-protokollet är potentiellt också sårbara.

Sårbarheten kan undvikas genom att använda CTR (Counter) mode istället för CBC.

Påverkade versioner

  • OpenSSH 4.7p1

Mer information och programrättningar

http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt

http://www.securitytracker.com/alerts/2008/Nov/1021235.html