Bug per Unix Secure Shell, password rischiose

Una delle più recenti versioni della SSH Secure Shell per Unix contiene una grossa falla nel sistema di autenticazione
Una delle più recenti versioni della SSH Secure Shell per Unix contiene una grossa falla nel sistema di autenticazione


Helsinki – Una vulnerabilità scoperta nel software SSH Secure Shell 3.0.0 potrebbe mettere a repentaglio la sicurezza di numerosi server Unix che utilizzano il software di SSH Communications Security per proteggere le comunicazioni fra client e server.

Secondo il bollettino di sicurezza rilasciato dalla stessa SSH sul proprio sito, il problema risiede nel sistema di autenticazione delle password: il meccanismo sembra infatti incepparsi in presenza di password con due o comunque con pochi caratteri, nel qual caso potrebbe consentire, ad un utente remoto, di accedere ad un determinato account senza password o utilizzando una qualsiasi parola chiave.

Quantunque la prima regola di sicurezza sia quella di utilizzare password non banali e lunghe almeno 6 caratteri, molto spesso i sistemi installati con le impostazioni di default assegnano ad alcuni account amministrativi password di poche lettere che ogni buon sistemista dovrebbe prontamente cambiare.

“Sebbene questi account amministrativi abbiano in genere pochi privilegi, è relativamente facile che possano essere utilizzati da assalitori per muoversi nel sistema, guadagnare i privilegi di root e prendere il pieno controllo del sistema”, ha detto Janne Saarikko, product manager di Secure Shell.

SSH, che ha classificato questa vulnerabilità come “grave”, consiglia a tutti gli amministratori di sistema di aggiornare prontamente il software SSH Secure Shell alla versione 3.0.1, priva del bug, oppure di applicare uno dei rimedi descritti nel bollettino.

Fra i sistemi affetti vi sono alcune versioni di HPUX, Red Hat Linux, SuSE Linux, Solaris, Caldera Linux e, più in generale, ogni sistema Linux/Unix su cui sia installata la versione 3.0.0 della SSH Secure Shell.

Link copiato negli appunti

Ti potrebbe interessare

24 07 2001
Link copiato negli appunti