Hul i OpenSSH står åbent

Artiklen blev oprindeligt publiceret den 24/7/2015

Et sikkerhedshul i OpenSSH lader angribere afprøve en stor mængde passwords i et brute force-angreb.

Som standard tillader OpenSSH seks forsøg på at logge ind. Men ved at udnytte sårbarheden kan en angriber afprøve så mange brugernavne og passwords, som det kan lade sig gøre at teste på to minutter.

Sikkerhedsforskeren der opdagede sårbarheden, skriver, at det er muligt at afprøve 10.000 passwords.

Sårbarheden kræver, at autentifikation med indtastning af brugernavn og password er slået til. Anvender ens system login med krypteringsnøgler, er det ikke sårbart.

Anbefaling
Afvent en opdatering af OpenSSH eller nedsæt den tid, som programmet tillader til loginforsøg. Det ser også ud til, at Fail2ban eller Pam-shield beskytter mod sårbarheden.

Links