W protokole OpenSSH znaleziono b��d pozwalaj�cy na przechwytywanie zaszyfrowanych danych. Luka zosta�a zidentyfikowana przez ekspert�w ds bezpiecze�stwa IT Uniwersytetu w Londynie. Znale�li oni luk� w 32 bitowej realizacji tego protoko�u w systemie OS Debian/GNU Linux. Niestety luka ma charakter podstawowy, wi�c reszta realizacji bie��cej wersji 4.7 jest tak�e zagro�ona. OpenSSH jest bardzo popularnym zestawem program�w, kt�rych celem jest zapewnienie szyfrowanej komunikacji w Internecie.

Wed�ug profesora Kenny Pattersona z grupy Information Security Group (ISG) na Uniwersytecie w Londynie, 1 atakuj�cy ma jedn� szans� na 262114 pr�b do pomy�lnego przeprowadzenia ataku na algorytm szyfrowania. "Odkryty problem odnosi si� do b��d�w w projektowaniu OpenSSH, a luka zosta�a spowodowana przez stare problemy kodu" - powiedzia� Patterson.

Atak jest klasyczn� form� Man-in-the-middle, gdzie atakuj�cy przechwytuje ruch z komputera u�ytkownika.

W celu zminimalizowania mo�liwo�ci ataku, administratorzy IT zalecaj� stosowanie algorytmu AES w trybuie CTR (counter mode) w miejsce standardowego CBC. Wra�liwo�� ta zosta�a wykryta ju� w listopadzie 2008. Spodziewano si�, �e luka zostanie zamkni�ta wersj� OpenSSH 5.2, jednak tak si� nie sta�o.

�r�d�o: http://www.cybersecurity.ru/