SSH e OCS: individuati bug nei due protocolli

Due dei protocolli più diffusi nella rete, OCS (Office Communications Server) e SSH (Secure Shell Protocol),

, dalle aziende che sviluppano programmi e pacchetti a quest’ultimi collegati, come potenzialmente insicuri.

Sarebbe sufficiente eseguire l’operazione chiamata invite flood (fiume di inviti) o inviare alcune emoticon in varie chat ad un utente di Windows Live Messenger (o qualsiasi altro servizio di messagistica istantanea che si appoggia sul "protocollo OCS"), per creare problemi al computer del malcapitato, incidendo pesantemente sulle prestazioni e conducendo il programma al crash.

Anche nella configurazione standard di OpenSSH è stato trovato un grave bug. Secondo quanto rivelato dal

(CPNI), inducendo errori nel protocollo e tenendo sotto controllo gli stati di errore conseguenti in modo da ricostruire alcuni comportamenti del flusso di dati tra utente e server, sarebbe possibile ottenere 32 bit di testo non cifrato in una comunicazione protetta.

Dal CPNI fanno comunque sapere che le possibilità di portare a termine questo tipo di procedura sono davvero pochissime e di conseguenza tale attacco non risulta efficace.

Si tratta quindi di un problema di importanza relativa, arginabile semplicemente modificando il protocollo di cifratura da CBC (chiper-block chaining mode) a CTR (counter mode). Ad ogni modo tutti i vendor sono già al lavoro al fine di rilasciare una patch.