Подделка RSA сигнатур в SSH Secure Shell

Сообщается, что некоторые RSA сигнатуры могут быть неправильно определены как допустимые, при выполнении host или user идентификации, используя цифровые сертификаты и RSA ключи. Уязвимость воздействует на выполнение RSA PKCS v1.5.

Уязвимость обнаружена в SSH Secure Shell 3.1.0 - 3.1.7 and 3.2.0 - 3.2.4; SSH IPSEC Express Toolkit 5.0.0

Для устранения уязвимости, установите обновленную версию программы, которую можно скачать отсюда:

 
http://www.ssh.com/support/downloads/


The 3.1.8 version binaries can be installed on the old 3.1.x binaries (if you have the appropriate license).

SSH Secure Shell for Workstations 3.1:

http://www.ssh.com/support/downloads/secureshellwks/updates-and-pac kages-3-1.html

SSH Secure Shell for Servers 3.1:

http://www.ssh.com/support/downloads/secureshellserver/updates-and-packages-3-1.html

SSH Secure Shell for Windows Servers 3.1:

http://www.ssh.com/support/downloads/secureshellwinserver/updates-and-packages-3-1.html


The 3.2.5 version binaries can be installed on the old 3.2.x binaries (if you have the appropriate license).

SSH Secure Shell for Workstations 3.2:

http://www.ssh.com/support/downloads/secureshellwks/updates-and-packages-3-2.html

SSH Secure Shell for Servers 3.2:

http://www.ssh.com/support/downloads/secureshellserver/updates-and-packages-3-2.html

SSH Secure Shell for Windows Servers 3.2:

http://www.ssh.com/support/downloads/secureshellwinserver/updates-and-packages-3-2.html


Non-commercial source code and English Windows client binary without PKI and smart card functionality are available for the non-commercial users at:

ftp://ftp.ssh.com/pub/ssh/