23-07-2015, 12:04
Een bug in OpenSSH maakt het mogelijk om, afhankelijk van de kwaliteit van de verbinding, duizenden loginverzoeken per minuut te sturen. Ook als het maximale aantal loginpogingen laag wordt ingesteld is dat mogelijk.
De kwetsbaarheid in OpenSSH maakt het veel eenvoudiger om ssh-servers te brute-forcen. De beveiligingsonderzoeker King Cope heeft het probleem ontdekt en details erover gepubliceerd op de oss-sec-mailinglijst.
Normaliter is het aantal loginpogingen op een OpenSSH-server beperkt en een beheerder van een server kan dat maximale aantal zelf verder verlagen. Dankzij de kwetsbaarheid is het aantal loginpogingen in de praktijk echter onbeperkt. De kwetsbaarheid is eenvoudig te misbruiken; er hoeft enkel een relatief simpel OpenSSH-commando te worden gebruikt.
Brute-forcing op OpenSSH-servers is al een groot probleem; vooral servers met simpele wachtwoorden vallen snel ten prooi aan aanvallers, die het internet scannen op kwetsbare servers. Beheerders van servers met een beveiligingscertificaat hoeven zich minder zorgen te maken. Er is nog geen patch voor OpenSSH doorgevoerd, al heeft de ontdekker wel al een patch geschreven.
De kwetsbaarheid in OpenSSH maakt het veel eenvoudiger om ssh-servers te brute-forcen. De beveiligingsonderzoeker King Cope heeft het probleem ontdekt en details erover gepubliceerd op de oss-sec-mailinglijst.
Normaliter is het aantal loginpogingen op een OpenSSH-server beperkt en een beheerder van een server kan dat maximale aantal zelf verder verlagen. Dankzij de kwetsbaarheid is het aantal loginpogingen in de praktijk echter onbeperkt. De kwetsbaarheid is eenvoudig te misbruiken; er hoeft enkel een relatief simpel OpenSSH-commando te worden gebruikt.
Brute-forcing op OpenSSH-servers is al een groot probleem; vooral servers met simpele wachtwoorden vallen snel ten prooi aan aanvallers, die het internet scannen op kwetsbare servers. Beheerders van servers met een beveiligingscertificaat hoeven zich minder zorgen te maken. Er is nog geen patch voor OpenSSH doorgevoerd, al heeft de ontdekker wel al een patch geschreven.