In een veelgebruikt open-source versleutelingsprogramma zit een veiligheidslek, zo is door de ontwikkelaar van het programma bekendgemaakt.
Het gaat om Open Secure Shell (Open SSH), dat inmiddels is ingebouwd in vele besturingsprogramma’s, waaronder OpenBSD 3.0, OpenBSD 3.1 en FreeBSD-Current. Deze open-source-varianten van Unix worden onder meer gebruikt op netwerkapparatuur en beveiligingstoepassingen.
Het lek, waardoor aanvallers via internet naar binnen kunnen ‘sluipen’ in servers die Open SSH draaien, is ontdekt door het netwerkbeveiligingsbedrijf Internet Security Systems. De kwetsbaarheid uit zich in een inadequate afhandeling van ‘buffer overflow’-aanvallen, waarbij een bericht aan het programma wordt gezonden dat veel langer is dan het programma verwacht. De ‘extra regels’ kunnen worden gebruikt om een gevaarlijke code mee te zenden.
De onvolkomenheden zitten in versie 3.0 tot en met 3.2.3 van het programma. Opwaarderen naar een latere versie kan al veel problemen oplossen, maar netwerkbeheerders wordt wel aangeraden om ongebruikte Open SSH-verificatiemechanismes meteen uit te schakelen. Nadere informatie over de kwetsbaarheid van Open SSH is inmiddels rondgestuurd via beveiligings-mailinglijsten als Bugtraq en Debian.
