Eu li hoje que há uma vulnerabilidade significativa no OpenSSH, que é corrigido pela versão mais recente, 7.1 p2. De acordo com esta matéria , sua chave privada é vulnerável à divulgação.
Estou usando a mais recente Amazon Linux AMI e tudo está atualizado em relação ao repositório da Amazon.
[root@aws /]# ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1k-fips 8 Jan 2015
Aqui está a lista de quais pacotes estão disponíveis no repositório Amazon yum
yum list | grep openssh
openssh.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-clients.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-server.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-keycat.x86_64 6.6.1p1-22.58.amzn1 amzn-updates
openssh-ldap.x86_64 6.6.1p1-22.58.amzn1 amzn-updates
Parece que o repositório da Amazon está cerca de dois anos atrasado nas atualizações do OpenSSH. Eu li que alguns fornecedores retornam as atualizações de porta para versões mais antigas do OpenSSH, então isso pode não ser um problema, ou a Amazon pode resolvê-lo relativamente em breve.
Perguntas:
Sim, é realmente um problema se você já tiver passado por uma máquina que um invasor possa controlar.
Até que a Amazon atualize seu pacote, você pode impedir que o bug o afete adicionando a linha UseRoaming no a / etc / ssh / ssh_config em qualquer máquina a partir da qual você estará usando o cliente ssh.
Tags ssh amazon-web-services