Az OpenSSH csapat bejelentette az OpenSSH 7.1p2-es, hibajavító kiadását.

Biztonsági javítás

A kliens oldali OpenSSH a 5.4-es és 7.1-es verziók közt alapértelmezetten bekapcsolt, kísérleti támogatást tartalmaz az SSH kapcsolatok folyatásához (roaming). Az ehhez tartozó, kiszolgáló oldali kód azonban nem került kiadásra. Egy rosszindulatú kiszolgáló képes kihasználni a kliens eme kódjában lévő memóriaszivárgási hibát, amellyel akár a kliens privát kulcsai is elérhetőek. Mivel a közbeékeléses támadások megelőzése céljából a kliens ellenőrzi a szerver kulcsait, így ez a támadás csak kompromittált vagy rosszindulatú, de ismert szerver esetén lehetséges.

Megoldás: Az OpenSSH 5.4-es és magasabb verziójú klienseiben a konfigurációs állományhoz adjuk hozzá a UseRoaming no beállítást. Ezzel a hibás kód teljesen kikapcsolásra kerül. A konfigurációs állomány globálisan az sshd_config(5) vagy felhasználói szinten a ~/.ssh/config állomány.

Az eredeti bejelentés elolvasható itt: http://www.openssh.com/txt/release-7.1p2.