Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Terrapin Attack"
--> [1] führt direkt zum Vulnerability Scanner der RUB
Update Tracker
[2] für Debian [3] für Ubuntu [4] für RedHat [5] für SuSE [6] für OpenBSD
VG
Bernd
[0] https://terrapin-attack.com/
[1] https://github.com/RUB-NDS/Terrapin-Scanner
[2] https://security-tracker.debian.org/tracker/CVE-2023-48795
[3] https://ubuntu.com/security/CVE-2023-48795
[4] https://access.redhat.com/security/cve/cve-2023-48795
[5] https://www.suse.com/c/suse-addresses-the-ssh-v2-protocol-terrapin-attack-ak...
[6] https://ftp.openbsd.org/pub/OpenBSD/patches/7.4/common/011_ssh.patch.sig
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Extension Negotiation in the Secure Shell (SSH) Protocol"
--> bei Verwendung von "strict key exchange"/"strict kex" sowohl auf Client- also auch Server-seite (zwingend beide), kann Terrapin nicht mehr ausgeführt werden
(an dieser Stelle der Hinweis auf etwaige Probleme - connection loss - beim remote reconfigure)
--> siehe dazu auch [1] VG
Bernd
[0] https://datatracker.ietf.org/doc/html/rfc8308
[1] https://www.openssh.com/txt/release-9.6
rwth-security@lists.rwth-aachen.de