Hibaleírás még nincs, javítások azonban már vannak az OpenSSH jövő héten bejelentendő biztonsági hibájához

[LinuxSecurity.com, LinuxToday] A tegnapi napon Theo de Raadt, az OpenBSD és az OpenSSH egyik vezető fejlesztője egy levelet juttatott el néhány biztonsági kérdésekkel foglalkozó portálhoz, amelynek a tárgya egy eddig még fel nem fedezett OpenSSH biztossági hiba. De Raadt a levélben azt ígéri, hogy a hiba teljes leírását a jövő héten teszik közzé, addig tehát minden érintett szoftvercégnek van ideje javított OpenSSH csomagok kiadására. A fejlesztő azt sem rejtette véka alá, hogy az állítólagos hiba minden OpenSSH verziót érint, beleértve a nemrég kiadott 3.3-as verziót is.

A probléma az új OpenSSH-verziókban egy konfigurációs opcióval kerülhető meg (az /etc/sshd/shhd_config fájlba fel kell venni a következő sort: "UsePrivilegeSeparation yes"), amelynek hatására az sshd démon a legtöbb feladatát nem rendszergazdai jogkörrel fogja végezni: a nagyjából 27000 sornyi kódból így csupán 2500 fut root jogokkal, ezáltal csökken a szolgáltatás használatának a kockázata. A Privilege Separation (privsep) azonban nem minden rendszeren fog jól működni, néhol komoly problémákba ütközik a használata. Az OpenSSH csapata csütörtök estig várja a különböző szoftvercégektől privsep patcheket.

De Raadt arról is beszámolt a levelében, hogy már a múlt héten figyelmeztettek jó pár céget és a segítségüket is kérték a privsep beállításokkal kapcsolatban, de azok nem törődtek különösebben a dologgal, és nem is próbáltak segíteni az OpenSSH csapatának a problémák elhárításában. De Raadt még az ismert hackert, Alan Cox-ot is idézi, aki a figyelmeztető levélre állítólag azt válaszolta, hogy eddig senki sem állt elő olyan információkkal, amelyek bizonyítanák a szóban forgó OpenSSH biztonsági hiba létét, és ehhez még azt is hozzátette, hogy "sok ember nem bízik benned, Theo".

A levél megjelenése óta néhány disztribútor már privsepes konfigurációval ellátott friss OpenSSH csomagokat bocsátott ki.