Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties
Bron: OpenSSH.org

Arno beveiligings fouten naar eigen zeggen opgelost. Het is dan ook zeer aan te raden om deze versie te installeren. Hieronder een stuk van openssh.org en een link naar de lijst met wijzigingen:

The 3.4 release contain many other fixes done over a week long audit started when this issue came to light. We believe that some of those fixes are likely to be important security fixes. Therefore, we urge an upgrade to 3.4.
Changelog

Lees meer over

Versienummer:3.4
Besturingssystemen:Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, Linux x86, Mac OS Classic, macOS, OS/2, Solaris, UNIX
Website:OpenSSH.org
Download:ftp://ftp.nl.uu.net/pub/OpenBSD/OpenSSH/portable/
Moderatie-faq Wijzig weergave

Reacties (17)

Ik heb hem al geinstalleerd. Vanaf de openbsd ftp heb ik hem gedownload. Veel van de andere ftps zijn nog niet geupdate...

Hier een directe link naar de tar.gz file op openbsd.org
Is de OpenSSH (versie 2.9) die shipped is met FreeBSD 4.5 niet vulnerable of waarom heb ik nog steeds geen mailtje gehad van de FreeBSD Security Officer?

Ook de 4.5-patch branch heeft nog geen OpenSSH update ontvangen, terwijl bijv. de resolv-bug van vandaag al gefixed is...

Lijkt me dus dat OpenSSH 2.9 niet vulnerable is :?
Gezien het feit dat je al een paar versies achterloopt lijkt het mij verstandig om toch maar te upgraden. Gewoon voor de zekerheid. Geen idee wat er precies allemaal is gefixed tussen versie 2.9 en 3.4, maar het zou me niets verbazen als er een paar security fixes tussen zitten. Dus misschien ben je dan wel veilig voor de laatste bug, maar niet voor voorgaande.
FreeBSD brengt altijd security fixes uit, waarbij de versie dus hetzelfde blijft, maar de gaten wel gedicht worden.
Het zijn productiemachines die ik op de patch branch van 4.5 laat draaien. Daarin komen geen nieuwe features maar worden puur security fixed geintroduceerd. Dan hoef ik dus minder te zweten als ik een make installworld doe en het reboot commando geef, 200 kilometer verderop. ;) Deze versie wordt gewoon nog ondersteund, en dus moeten ook lekken in OpenSSH gefixed worden. 4.5 is trouwens aardig recent :)

De reden dat ik 4.5 security-branch draai is dat op de testserver de upgrade naar 4.6 totaal niet vlekkeloos verliep dankzij wijzigingen in o.a. het sendmail-gedeelte. Daarnaast draait 4.5 perfect.

edit:
Was als reactie op Mike bedoeld :o
Ik heb net even gekeken op www.openssh.org en daar staat dat versies 2.9.9 tot 3.3 de bug bevatten.
Zie /usr/src/crypto/openssh/version.h (na een cvsup):
#define SSH_VERSION_BASE "OpenSSH_2.9"
...versies 2.9.9 tot 3.3 de bug bevatten.
Je hebt gelijk. 2.9.9 kwam later dan 2.9 (= 2.9.0?). Dan zit ik namelijk safe ;)

Zie ook op GoT.
http://gathering.tweakers.net/showtopic.php/533929/4/25
Daarmee is natuurlijk niet gezegd dat oudere versies veilig zijn. Daar zitten beslist weer legio andere bugs in!
Het kan aan mij liggen maar ik zie 3.4 er nog niet bij staan...
ligt niet aan jou, ik zie ze ook niet :(
de nieuwste versie is nog niet op elke server gemirrored... de bovenste van de download URLs werkt wel.. ik heb de nieuwste versie reeds draaien.. :o
Nederlandse vertaling verklaart veel:
OpenSSH bevat een nog niet onthulde kwetsbaarheid. U wordt sterk aangeraden om onmiddelijk te upgraden naar OpenSSH 3.3 met de UsePrivilegeSeparation optie aan. Privilege Separation blokkeert dit probleem. Houd een oogje in het zeil voor OpenSSH 3.4 die maandag uitgebracht wordt en de kwetsbaarheid zelf oplost
Komt pas maandag dus begrijp ik hier uit... staat idd niet in de Engelse versie.
Hij is echt al uit hoor.
Draait hier alweer een paar uurtjes netjes.
en let op:
'bug' die in 3.3 ook zat dat je compression op no moet zetten als je 2.2 kernel draait zit hier nogsteeds in !

(http://bugzilla.mindrot.org/show_bug.cgi?id=285)
voor de wat mindere handige jongens onder ons:
zoals ik!!!!!!

is er ook al een versie voor freesco uit?
met een .sh file?

want ik weet niet hoe ik de tar.gz moet compileren...
Niet zo moeilijk, maar ik weet niet of FreeSCO make en tar ge´nstalleerd heeft, anyways:
tar -zxvf naamvantargzhier.tar.gz
cd naamvantargzhier
./configure (als je iets wilt en- of disablen kijk in INSTALL)
make
make install

Weer een nieuwe mini-mini-howto :D.
een tar.gz moet je ook eerst uitpakken ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True