Slashdot - Oktobra mineva deset let od začetka razvoja OpenSSH, ki je v tem času prilezel do verzije 5.3. Slednja je izšla ravno včeraj in prinesla predvsem popravke hroščev, medtem ko novih funkcionalnosti ni dodanih. Omenjamo pa jo predvsem zaradi okrogle obletnice in pomembnosti, ki projektu OpenSSH pritiče. Razvijati se je namreč začel v sklopu operacijskega sistema OpenBSD. OpenSSH je bil zasnovan kot odprtokodna alternativa plačljivemu SSH-programju, ki ga je takrat tržil SSH Communications Security. Glavna uporaba OpenSSH je posredovanje (forwarding) oddaljenih TCP-vrat prek varnih tunelov, s čimer se zakrijejo posamezne povezave, številke vrat in kriptirajo podatki pri sicer nezavarovanih protokolih.

Open BSD - Še vedno se držijo svojega šestmesečnega cikla in tudi na začetku tega novembra je izšla nova verzija odprtokodnega operacijskega sistema OpenBSD 4.4. Novosti vključujejo OpenSSH 5.1 s podporo za chroot(2), Xenocaro, Gnome 2.20.3, KDE 3.5.8 itn. Celoten seznam si lahko ogledate na njihovih straneh, od koder si lahko OpenBSD 4.4 prav tako tudi brezplačno prenesete ali pa naročite škatlasto verzijo.

OpenSSH - Kot je razvidno iz tega sporočila in novice, obstaja možnost zlorabe/vdora v sisteme z nameščenim OpenSSH (vse verzije pod 3.7).

Zato hitro "patchat" ali pa nadgraditi na verzijo 3.7. Lastniki Debian distribucije že imajo popravek na voljo na stran na security.debian.org.

Priporočam, da ostali do izida popravka za vam omiljeno distribucijo, blokirate vrata 22 na požarnem zidu in še v "tcpwrappers".

SecurityFocus Online -

Izdelovalci popularne zastonjske različice SSH-ja, OpenSSH, so opozorili, da vsebuje različica 3.4p1 trojanskega konja.

ZlobnaKoda™ ni kaj preveč sofisticirana, ampak služi svojemu namenu, saj omogoča poln dostop do računalnika, na katerem prevajamo podtaknjeno BSD kodo.

• OpenSSH trojaned!

Slo-Tech - Tule je Theo de Raadt (vodja projekta OpenBSD) napisal, da v OpenSSHju obstaja luknja, preko katere je mogoče vdreti v sistem, na katerem teče OpenSSH. Kje točno je luknja še ni znano, priporočajo pa nadgradnjo na OpenSSH 3.3(p1), ki naj bi onemogočil pridobitev root pravic ob uspešni zlorabi luknje, ko bo znana.

Kot ponavadi, Zlobni™ mogoče že imajo na voljo orodja, ki napako izkoriščajo, zato le hitro nadgradite OpenSSH, če ga poganjate.

Debianovci so prvi objavili priporočilo, tako da lahko njihovi uporabniki že namestijo pakete z novo verzijo OpenSSHja, enako velja za Slackware. Našli so se tudi dvomljivci, ki ne zaupajo varnosti nove verzije.

Ukrepajte po lastni presoji, verjetno je najbolje čimbolj omejiti naslove, s katerih je SSH dostop omogočen. Pa veliko sreče.

OpenSSH - To so si očitno mislili programerji priljubljenega programja za oddaljen dostop, OpenSSH. Namreč, v kodo dotičnega paketka -- velja za verzije od 2.0 do 3.0.2 -- se je prikradel zanimiv škrat v obliki manjkajočega enačaja, ki zna slehernemu programerju privabiti nasmešek na ustnice. Rezultat je možnost zlorabe strežniškega računala (brez perverznih misli!) s strani lokalnega uporabnika; priporočena je nadgradnja na verzijo 3.1 oz. inštalacija popravka. Tehnikalije.