Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Uppdaterad | Publicerad - Sårbarhet, krypto

SR08-311 OpenSSH - Informationsläckage

Sårbarhet kan medge att 32 bitar klartext kan utvinnas ur en SSH-session.

Problembeskrivning

CVE-referens:-

Martin Albrecht, Kenny Paterson och Gaven Watson vid University of London har upptäckt en sårbarhet i OpenSSH. Sårbarheten beror på bristfällig hantering av fel i en SSH-session där en block-kryptoalgoritm brukas i CBC (Cipher-block chaining) mode.

En angripare som har möjlighet att lyssa och modifiera trafik kan utnyttja sårbarheten för att potentiellt utvinna 32 bitar klartext.

Värt att notera är dock att sannolikheten för ett lyckat angrepp är låg.

Andra implementationer av SSH-protokollet är potentiellt också sårbara.

Sårbarheten kan undvikas genom att använda CTR (Counter) mode istället för CBC.

Påverkade versioner

  • OpenSSH 4.7p1

Mer information och programrättningar

http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt

http://www.securitytracker.com/alerts/2008/Nov/1021235.html