OpenSSH

En fire år gammel fejl (CVE-2018-10933) i Secure Shell-implementeringen, kendt som libssh, gør det til en triviel sag at smutte uden om adgangskontrollen og få ubegrænsede administrative rettigheder over en sårbar server.

Godkendelsesfejlen er er et stort sikkerhedshul, der bør lukkes med en opdatering så hurtigt som mulig.

Det stå ikke umiddelbart klart hvor mange enheder, der er berørt at problemet, men heldigvis er der også gode nyheder.

Der er tale om en fejl i libssh-biblioteket men altså ikke i libssh2 eller OpenSSH, der er navngivet på samme måde.

En svaghed i OpenSSH er netop blevet lappet med en rettelse, som er udsendt i denne uge.

Fordi OpenSSH klienten er indbygget i et hav af software-applikationer og hardware-enheder, kan det dog komme til at tage meget lang tid, før alle systemer får installeret rettelsen.

Svagheder giver potentielt en ekstern angriber mulighed for at gætte brugernavne, der er registreret på en OpenSSH-server.

Svagheden hedder CVE-2018-15473, og er altså blevet lukket.