Nueva version de Portable OpenSSH (3.6.1p2)

Escrito el 6 Mayo, 2003 – 18:00 | por storm | 670 lecturas

Acaba de publicarse una nueva versión de la versión “portable” de OpenSSH, la implementación de código abierto del protocolo SSH. OpenSSH es una implementación abierta y gratuita de la tecnología SSH. Se trata de un protocolo muy popular, potente y basado en software para la transmisión de datos de forma segura a través de las redes informáticas. Cualquier dato transmitido en una sesión SSH es automáticamente cifrado. La utilización habitual de SSH es como una alternativa a “telnet”, en la que ambos extremos de la conexión se autentifican mutuamente y la conexión en sí va protegida criptográficamente. Adicionalmente, SSH permite establecer túneles para otros protocolos, de forma que puede utilizarse para cifrar virtualmente cualquier conexión.

Esta tecnología hace posible, por ejemplo, la administración de sistemas Unix de forma remota y segura, aunque las redes de comunicaciones que se estén utilizando no nos merezcan confianza.

OpenSSH nació inicialmente como parte del proyecto OpenBSD, existiendo dos equipos de desarrollo: el primero se centra en el desarrollo de la versión para OpenBSD mientras que el segundo equipo se encarga de portar la versión para OpenBSD a otros sistemas operativos.

Recientemente se ha anunciado la disponibilidad de una nueva versión de la rama “portable”, la 3.6.1p2. Esta versión incluye cambios menores para aumentar la compatibilidad con diversos sistemas operativos, así como una importante actualización de seguridad que únicamente afecta a los usuarios del sistema operativo AIX que hayan compilado el código utilizando GCC.

El problema se encuentra en el enlazador en tiempo de ejecución de AIX que, por defecto, busca las bibliotecas dinámicas en el directorio actual con preferencia a los directorios de sistema. Esto es un importante problema de seguridad ya que un usuario local podría crear una biblioteca de forma maliciosa, colocarla en su directorio y utilizarla para escalar privilegios en el sistema.

Durante el proceso de configuración del código fuente de OpenSSH (cuando se ejecuta ./configure) se realizan cambios para prevenir este comportamiento por defecto pero, hasta la versión recientemente publicada, éstos únicamente se aplicaban cuando se utilizaba el compilador nativo de IBM. En GCC es preciso utilizar un parámetro diferente.

Es importante indicar que la versión de OpenSSH que distribuye IBM no se ve afectada por este problema. Únicamente afectará a aquellos usuarios de AIX que compilen el código fuente por su cuenta utilizando GCC. Éstos usuarios deberían actualizar su versión de OpenSSH con la mayor brevedad posible.

Más información:

Portable OpenSSH 3.6.1p2

http://www.mindrot.org/pipermail/openssh-unix-announce/2003-April/000060.html

Fuente:Hispasec

You must be logged in to post a comment.

Buscar: