Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en systemadministratör inom Linux-klientinfrastruktur och it-säkerhet till CERT-SE, en central roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 15 augusti.

Publicerad - Sårbarhet

Säkerhetshål i Enghouse Interactive IVR Pro installationer

Plattformar som installerats med tillägget OpenVZ-fallback använder samma SSH-nyckel för root-kontot på samtliga installationer varav den privata nyckeln på något sätt har exponerats publikt.

Installationer av IVR Pro som använder OpenVZ för fallback-stöd har en sårbarhet, samma SSH-nyckel för root kontot har används för samtliga installationer. Den privata nyckeln är röjd och publikt tillgänglig, vilket kan ge obehöriga möjlighet logga in på ett sårbart system om SSH-tjänsten är publikt exponerad. Eftersom nyckeln tillhör användaren root så innebär det att en angripare som utnyttjar bristen får full åtkomst till hela systemet.

Leverantören Enghouse Interactive har rättat problemet i nya utgåvor IVR Pro men de har valt att behålla det gamla versionnummret 9.0.3. För att säkerställa att en installation inte är sårbar kan man kontrollera att fingerprint på SSH-nyckeln inte är samma som det fingerprint som tillhör den exponerade nyckeln, se länken nedan.

Mer information om bristen och samt fingerprint för den exponerade nyckeln finns här: https://xpd.se/advisories/XPD-2013-001.txt