Sicherheitslücke in SSH-Spezifikation

Das britische Centre for the Protection of National Infrastructure (CPNI) meldet, dass ein Fehler in der Spezifikation des Secure-Shell-Protokolls (SSH) dazu führen kann, dass Teile des Klartextes rekonstruiert werden könnten. Allerdings geht man davon aus, dass Angriffe nicht mehr funktionieren, sobald SSH vom Cipher-Block-Chaining-Mode (CBC) auf den Counter-Mode (CTR) umgestellt wird, der aus einem Block-Chiffre einen Strom-Chiffre macht.

Das CPNI hat zwar nur OpenSSH untersucht, doch ist es wahrscheinlich, dass sämtliche RFC-konformen Implementierungen von SSH (RFC 4251) diese Schwäche aufweisen. Der Hersteller SSH Communications Security veröffentlichte bereits einen Fehlerbericht und empfiehlt, die Verschlüsselungsalgorithmen auf CryptiCore oder Arcfour (RC4) umzustellen, bzw. die Lücke mittels eines Updates zu schließen.

0 Kommentar(e)

Zum Posten von Kommentaren bitte