本周,受到广泛使用的加密通讯应用软件OpenSSH的开发者和互联网安全系统公司(ISS)表示,该软件中存在一个严重的安全缺陷,可能使黑客“溜进”运行该软件的服务器中。
OpenSSH被广泛地应用在OpenBSD 3.0、OpenBSD 3.1和FreeBSD等Unix操作系统的各种开放源代码变种中,网络设备和专用安全服务器一般都使用这样的操作系统。
第一个发现这一安全缺陷的ISS的首席顾问格兰特说,这一安全缺陷主要影响版本在3.0-3.2.3之间的OpenSSH软件。他说,这一安全缺陷与OpenSSH的对“缓冲区溢出”类型的攻击不适当的处理类型有关,黑客可以通过向程序提供超出其需求数量的字符利用这一安全缺陷,并将超出的字符作为可执行代码进行执行。运行OpenSSH的服务器可能会因此受到Dos攻击。
ISS还指出,由于OpenSSH是以超级用户权限在后台运行的,因此利用这一安全缺陷的黑客还可能以最高访问权限进入系统。
格兰特表示,此前,ISS已经向OpenSSH的资深开发人员通报了这一安全缺陷,双方进行了有效的合作,已经发布了一个安全补丁程序。ISS对Apache互联网服务器中的一处安全缺陷的处理方式受到了广泛的批评,它在向Apache的开发者通报这一问题的同时,向公众公布了这一安全缺陷。
ISS建议系统管理员关闭不使用的OpenSSH认证机制。另外,通过禁用OpenSSH配置文件中的询问-响应认证参数,系统管理人员也能够消除这一安全缺陷。ISS建议,用户应当安装相应的补丁程序。
