Roma – Ad avvisare la comunità della presenza di una grossa vulnerabilità nella più recente versione di OpenSSH, la 3.3p, è Theo de Raadt, uno degli sviluppatori del software e membro del team di OpenBSD. In un messaggio pubblicato su LinuxSecurity.com, Raadt ha avvertito che l’ultima versione di OpenSSH è afflitta da una falla, ancora non resa pubblica, che può essere sfruttata da un aggressore per eseguire, da remoto, codice a sua scelta.
Se venisse sviluppato un exploit per questa falla, qualunque cracker sarebbe in grado, secondo gli esperti, di ottenere una shell di root sui sistemi che utilizzano la versione incriminata di OpenSSH. A mitigare il pericolo c’è il fatto che la versione 3.3p del software è stata rilasciata pochi giorni fa ed è dunque difficile che essa sia stata installata in sistemi mission critical o con una particolare valenza per la sicurezza.
Raadt ha spiegato che la vulnerabilità non può essere sfruttata da remoto se è attivata la funzione “Privilege Separation”: è questa un’opzione che può essere abilitata, al prezzo di rinunciare a qualche funzionalità di SSH, dal file di configurazione “/etc/ssh/sshd_config”.
Raadt, che conta di rilasciare una versione patchata di OpenSSH già a partire da questo venerdì, polemizza con “molti vendor” sul fatto di non aver ricevuto sufficiente assistenza per testare la nuova funzionalità Privilege Separation introdotta in OpenSSH 3.3; una funzionalità che, se attivata di default, Raadt sostiene possa limitare di molto i rischi per la sicurezza.
“Loro (i vendor) ci hanno sostanzialmente ignorati”, si lamenta Raadt. “Alcuni, come Alan Cox (noto hacker del kernel di Linux alle dipendenze di Red Hat, NdR), sono persino arrivati a sostenere di non voler lavorare sulla Privilege Separation perché “Nessuno ci ha fornito alcuna informazione che dimostri il problema, e molta gente non ti crede Theo””.
Update (ore 18,43): è stata rilasciata la nuova versione 3.4 di OpenSSH che corregge la vulnerabilità descritta in precedenza. Può essere scaricata dal sito ufficiale: http://www.openssh.com.