Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Aviso falso sobre fallas explotables en OpenSSH 3.5p1
 
VSantivirus No. 914 - Año 7 - Martes 7 de enero de 2003

 Aviso falso sobre fallas explotables en OpenSSH 3.5p1
http://www.vsantivirus.com/07-01-03-htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


La firma especializada en seguridad, Global InterSec, anunció que un reciente aviso publicado en la conocida lista BugTraq sobre graves vulnerabilidades que comprometen el acceso raíz en todas las versiones de OpenSSH, es falso.

La compañía dice que el aviso fue publicado aparentemente para echar un poco de luz sobre declaraciones poco claras hechas por ellos mismos en marzo del 2002 en otro aviso sobre una vulnerabilidad que podría llegar a poner en compromiso la utilidad OpenSSH.

OpenSSH es una versión gratuita del protocolo SSH, utilizado normalmente para asegurar las comunicaciones entre equipos a través de canales inseguros (como Internet). OpenSSH encripta todo el tráfico entre el cliente y el servidor, además de proveer la posibilidad de hacer tunneling seguro y varios métodos de autentificación seguros.

La falsa alerta, clama ser autoría de un supuesto escuadrón denominado "Mickey Mouse Hacking Squadron", y su redacción está plagada de sarcasmos.

La advertencia original de Global, se encuentra en la siguiente dirección y es permanentemente revisada para estar siempre al día:

http://www.globalintersec.com/adv/openssh-2002062801.txt

Del defecto en si mismo, si bien fue demostrado como posible en el laboratorio por parte de Global, jamás fue publicado un exploit, y además, en forma deliberada se quitaron referencias vitales que pudieran ayudar a hacer un uso malintencionado del aviso original.

En concreto, en el momento actual, no existen fallas conocidas en OpenSSH 3.5p1, que puedan ser utilizadas en forma maligna, y el aviso publicado en BugTraq solo pretende crear una alarma injustificada entre los usuarios de OpenSSH.


Referencias:

Aviso falso:

Openssh Remote Root Compromise All Versions
http://www.avet.com.pl/pipermail/bugdev/2003-January/001716.html

Aviso original (verídico):

OpenSSH kbd-interactive buffer overflow
http://www.globalintersec.com/adv/openssh-2002062801.txt



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2003 Video Soft BBS