OpenSSH lukker fire huller

Artiklen blev oprindeligt publiceret den 12/8/2015

Udviklerne af OpenSSH har lukket fire sikkerhedshuller. Et af dem har været kendt i en måned.

Hullet gør det muligt at afprøve en stor mængde brugernavne og passwords, fordi angriberen kan omgå den indbyggede begrænsning af antal forsøg.

Dette og tre andre huller er lukket med OpenSSH 7.0.

Foruden rettelserne har udviklerne fjernet understøttelsen af flere ældre teknologier, der ikke længere regnes for sikre. Det gælder SSH v1, 1024-bit Diffie-Hellman-Group1-SHA1 nøgleudveksling og SSH-DSS og SSH-DSS-CERT-*.

Nogle af dem kan slås til manuelt, hvis man har brug for det.

Anbefaling
Opdater til version 7.

Links

• OpenSSH 7.0 Release Notes
• OpenSSH 7.0 Fixes Authentication Vulnerability, Other Security Bugs, artikel fra SecurityWeek
• Hul i OpenSSH står åbent, DKCERT 24-07-2015