Обнаружена уязвимость в OpenSSH 14.01.2016

Немного добавлю.

Проблема связана с работой появившейся в OpenSSH 5.4 недокументированной функции роуминга, предназначенной для возобновления оборванного SSH-соединения. Серверная реализация роуминга так и не была включена в состав OpenSSH, но код клиента был добавлен в экспериментальном режиме и был включен по умолчанию. Уязвимости подвержены все версии с OpenSSH 5.4 по 7.1, включительно.

У меня фольга на шапочке зашевелилась.

з.ы. Крупным сайтам и простым пользователям настоятельно рекомендуют сгенерировать новые SSH-ключи.

и

Это кто отвечает за релизы? Уволить? Расстрелять?

Сильно преувеличиваете опасность. Разработчики справедливо сосредоточены на безопасности кода сервера, а тут проблема касается поведения клиента , которым, по правде-то, вебмастеры и не пользуются почти никогда. Putty.exe - это вообще другой код.

Инцидент совсем не катастрофический. Обновили и забыли.

Да про преувеличивание я читал, но по умолчанию врубать тестовую функцию. Так сказать тестировать на всех и сразу. И ещё не документировать это. Шикарно.

Как бэ спасибо за инфу, но пруфы же, пруфы.

SeVlad, в первом посте есть пруф https://www.debian.org/security/2016/dsa-3446

А тем кто ключи никогда не юзает - можно спать спокойно?

foxi, сам никогда не пользовался ими. Вы натолкнули на другую мысль.

Может знающие люди подскажут, ниже команд достаточно, чтобы проверить отсутствие авторизаций по SSH?

# find / -name "*id_rsa*"

- пустой ответ

# find / -name "*authorized_keys*"

- возвращает 1 файл мануала

В старпосте написано, что это

А это, согласись, совсем не

информация об уязвимости в OpenSSH

Но спс. А ТСу надо было просто написать что там есть инфа и о самой уязвимости.