perjantai, 28.06.2002 klo 18:23 / d
OpenBSD -projektin perustaja Theo de Raadt kertoi maanantaina tietoturvayhtiö ISS:n löytäneen tietoturva-aukon OpenSSH -ohjelmistosta. Tietoturva-aukon kautta hyökkääjä pystyisi ajamaan komentoja etäkoneelta root-oikeuksilla. de Raadt salasi tarkemmat tiedot ja kehotti OpenSSH:n käyttäjiä päivittämään kolme päivää ennen julkaistuun OpenSSH 3.3 -versioon, joka ei sinällään korjannut reikää mutta käyttämällä sen uutta privilege separation-mekanismia aukkoa vastaan pystyi suojautua. Sähköpostissaan OpenBSD:n keulamies kritisoi valmistajia siitä, etteivät ne olleet reagoineet tarpeeksi tietoturvakeskusteluun. de Raadt haukkui mm. Red Hatin sekä HP:n tietoturvaedustajia.
Keskiviikkona ISS julkaisi tietoturva-varoituksensa, joka paljasti että löydetty aukko koski ChallengeResponseAuthentication-asetusta. Samana päivänä OpenSSH-porukka julkaisi OpenSSH 3.4 -version, joka korjaa ISS:n löytämän ChallengeResponse-reiän, PAM-moduuliin liittyvän reiän sekä muita mahdollisia ongelmia.
ftp.openbsd.orgin OpenSSH-hakemisto .., ftp.openbsd.orgin OpenSSH Portable-hakemisto .. ja CERT-varoitus ..