Se ha incrustado una vulnerabilidad tipo "backdoor" (que permitiría un acceso al sistema infectado) en las últimas versiones de la librería de compresión liblzma, que es usada por las grandes distros de GNU/Linux en el paquete OpenSSH, que proporciona acceso a equipos remotos. Enlace al anuncio del desarrollador que ha encontrado la puerta trasera. Más info en el enlace.

¿Tienes 50.000$? Entonces puedes "crackear" SHA-1. No es una cantidad a la disposición de cualquiera, pero sí está disponible para entornos académicos. La implementación de SHA-1 se sabe que es vulnerable desde 2005 aunque requier una gran cantidad de cálculo no trivial para romperla. Ahora se han desarrollado unos ataques más potentes y los recursos de hardware más baratos incrementando la vulnerabilidad. SSH se utiliza para conectar con servidores y dispositivos de forma remota.

Acaban de salir OpenBSD 6.5 y OpenSSH 8.0.

ESET, líder mundial en ciberseguridad y el mayor fabricante de software de seguridad de la Unión Europea, ha descubierto veintiuna familias, doce de ellas desconocidas hasta la fecha, de malware basado en OpenSSH que afectan a Linux. Las potentes herramientas maliciosas descubiertas por ESET son utilizadas ampliamente por cibercriminales que usan amenazas persistentes avanzadas (APT) que podrían tomar el control completo de los servidores Linux.

El fallo afecta desde las versiones del cliente de OpenSSH 5.4 hasta la 7.1. Hasta que este bug se corrija en las distintas distribuciones, se recomienda deshabilitar la función Roaming del cliente de esta forma: # echo -e 'Host *nUseRoaming no' >> /etc/ssh/ssh_config Más información: www.qualys.com/2016/01/14/cve-2016-0777-cve-2016-0778/openssh-cve-2016

El equipo de OpenSSH ha corregido una vulnerabilidad que afecta a la llave de cifrado AES-GCM cipher. Una solución rápida es desabilitar AES-GCM en el fichero de configuración sshd_config. Las versiones afectadas son OpenSSH 6.2 y OpenSSH 6.3 cuando se han compilado con OpenSSL que da soporte a este tipo de cifrado. Mas información aquí: www.openssh.com/txt/gcmrekey.adv y aquí hay un foro sobre las distribuciones afectadas: news.ycombinator.com/item?id=6695162

¿Conocen FireFTP? Es una de las extensiones más utilizadas y conocidas para Firefox. Su autor, Mime Čuvalo, ha liberado una nueva extensión (aún en desarrollo) llamada FireSSH, la cual es un poderoso cliente SSH escrito completamente en Javascript que funciona dentro de la ventana del navegador web.

Tenemos la satisfacción de anunciar la publicación oficial de OpenBSD 4.7. Esta es nuestra versión numero 27 en CD-ROM (y 28 a través de FTP). Seguimos orgullosos del récord de OpenBSD de más de diez años con sólo dos agujeros de seguridad a distancia en la instalación por defecto. Al igual que en nuestros anteriores comunicados, 4,7 proporciona importantes mejoras que incluyen nuevas características, en casi todas las áreas del sistema.

El grupo "Anti-Sec" anuncia que ha descubierto una vulnerabilidad grave en OpenSSH y que antes del miércoles 22 de Julio liberará un exploit que dicen que afectaría a cualquier sistema ejecutando un servidor OpenSSH con los puertos abiertos hacia Internet. ¿Será un FUD o una realidad? Sólo queda esperar...

En la lista de correo de insecure.org (creadores del nmap) se da a conocer un posible bug MUY GRAVE, el cual daría permisos de root (superusuario) simplemente con ejecutarlo de forma remota. A esta hora no hay noticias del proyecto openssh de ningún parche para solucionarlo.

Los desarrolladores están urgiendo a los usuarios a que se actualicen a la última versión disponible, después de que se haya descubierto una "grieta" en OpenSSH, que permitiría a un atacante leer datos que se suponen encriptados. La versión a utilizar es la 5.2 y posteriores, que incluye contramedidas para prevenir dichos ataques.

US-CERT publicó un aviso respecto de la detección del aumento de ataques contra infraestructuras basadas sobre GNU/Linux utilizando firmas digitales SSH comprometidas, muy probablemente relacionadas con la grave falla de seguridad de Debian descubierta en mayo de este año. Está afecta a servidores donde la autenticación se realiza mediante firmas digitales sin protección por clave de acceso. En español: www.kriptopolis.org/servidores-linux-bajo-ataque y algo que explica de que trata: www.lanacion.com.ar/nota.asp?nota_id=1017063

"Si siguen el hilo de las entradas habrán leido que se ha descubierto una grave vulnerabilidad en las claves generadas por OpenSSH. Ahora, como saber si tu sistema está afectado?"

Una gravísima vulnerabilidad en OpenSSH fue expuesta hoy, que afecta a Debian y todos sus derivados (Ubuntu, por ejemplo), y deben ser inmediatamente actualizados y regeneradas las llaves ssh generadas desde el 2006 en adelante.

A partir de la nueva versión de OpenSSh, la 4.8p1 para el port GNU/Linux, disponemos de una nueva opción de configuración: ChrootDirectory. Esto ha sido posible gracias al nuevo subsistema SFTP linkado estaticamente con sshd. Esto hace posible reemplazar facilmente el servicio FTP básico sin el problema de tener que configurar la encriptación y/o la preocupación del modo activo y pasivo del FTP cuando se trabaja detrás de un router NAT. Es mucho más simple que paquetes como rssh, scponly o otros parches ya que no requiere instalación ni manten

C&P: Adiós… o al menos parcialmente, para aquellas personas que accedemos diariamente por SSH a una o varias máquinas en las que tenemos que introducir gigantes contraseñas para identificarnos, o para los que busquen un poco más de seguridad en sus servidores a la vez que comodidad. Hablo de las claves RSA pública/privada, que pueden ser generadas con ssh-keygen sin mayor problema y que nos serán muy útiles. Voy a explicar qué hacer por parte de servidor y por parte de cliente de la forma más sencilla posible.

La nueva versión cuenta con algunas características como la directiva "Match" para adaptar el servidor a clientes específicos basados en usuario, grupo, hostname o la IP y la opción "ForceCommand" para, usada en conjunción con la anterior, ejecutar un comando específico, independientemente de la petición del cliente. Los cambios en la nueva versión pueden verse en www.openssh.org/txt/release-4.4. En inglés.

La fundación OpenBSD ha hecho pública la donación por parte de Mozilla 10.000 dólares al proyecto OpenSSH para ayudar a su desarrollo. También se agradece la colaboración de pequeñas empresas e instituciones anónimas, así como donaciones particulares. Visto en: www.alt1040.com/archivo/2006/04/04/la-fundacion-mozilla-dona-10000-dol