 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
CERT-FI haavoittuvuustiedote 002/2001
28.12.2001 Haavoittuvuuksia Secure Shell (SSH) -protokollassa
Secure Shell (SSH)-protokollan haavoittuvuus liittyy hyökkäyksen havaitsemiskoodiin Secure Shell (SSH) versiossa 1. Haavoittuvuutta hyväksikäyttämällä voidaan saada Secure Shell (SSH) perustuva palvelu suorittamaan palvelun käyttäjän omia komentoja. Komennot voidaan ajaa Secure Shell (SSH)-palvelun oikeuksilla, jotka ovat yleensä samat kuin tietojärjestelmän ylläpitäjällä. HAAVOITTUVAT OHJELMISTOT:Tietojärjestelmät joissa käytetään Secure Shell (SSH) protokollaa. RATKAISU- JA RAJOITUSMAHDOLLISUUDET:Päivitä Secure Shell (SSH) -ohjelmisto uusimpaan versioon. Jos ohjelmiston päivittäminen uudella versiolla ei ole mahdollista, päivitä nykyinen versio kaikilla ohjelmistopäivityksillä. On suositeltavaa, että mahdollisia päivityksiä etsitään myös ohjelmistotoimittajien / myyjien kotisivuilta. Yleisohjeena CERT-FI suosittelee haavoittuvan Secure Shell (SSH)-palvelun sulkemista, ellei ohjelmistotoimittajalta/myyjältä löydy palveluun turvallisuuden takaavaa päivitystä. CERT-FI suosittelee myös Secure Shell (SSH)-palvelun sulkemista, ellei sen käytölle ole erityistä tarvetta. Tietojärjestelmien ylläpitäjien on hyvä huomioida, että useat Secure Shell (SSH) 2 protokollaan perustuvat palvelut käyttävät Secure Shell (SSH) 1-protokollan ominaisuuksia, jos se on mahdollista ja jos asiakasohjelmisto sitä palvelinohjelmistolta pyytää. Siksi pelkästään päivittämällä Secure Shell (SSH) versioon 2 ei taata turvallisuutta, ellei tietojärjestelmän ylläpitäjä ole tietoinen Secure Shell (SSH) 1-version haavoittuvuuksista ja kytke sen käyttömahdollisuutta pois päältä. LISÄTIETOA:http://www.cert.org/advisories/CA-2001-35.html http://www.f-secure.com/products/ssh/ PÄIVITYSHISTORIA:28.12.2001: Julkaistu
|
|
