Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/12/2002
Både klientprogrammer og serversoftware til kommunikationsstandarden SSH er sårbare. Det gælder software fra flere udbydere.Det amerikanske CERT/CC advarer om flere forskellige sårbarheder. De værste består af bufferoverløb, der finder sted, før brugeren er autentificeret. Dermed kan en angriber anvende dem til at afvikle kode på brugerens computer.
Firmaet Rapid7 har opdaget sårbarhederne, der primært findes i behandlingen af SSH version 2.
SSH (Secure Shell) er en standard for sikker kommunikation med kryptering. En af de mest udbredte SSH-udgaver, OpenSSH, er ikke ramt af de nyopdagede sårbarheder.
Ifølge CERT/CC er blandt andre programmer fra Putty, SSH Communications Security og F-Secure sårbare. F-Secure oplyser dog selv, at deres program ikke sårbart - et angreb kan få en proces til at gå ned, men kan ikke få afviklet kode eller sætte serveren ud af drift.