Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 5347 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

OpenSSH 6.2 and 6.3 AES-GCM Cipher Memory Corruption

stephendreality
We have recently ran a Nessus scan against our UTM box that flagged a potentially high vulnerability that OpenSSH is out of date and could be affected by memory corruption.

We were wondering whether this is something that will/has been patched via a UTM update, or something we have to patch ourselves?


This thread was automatically locked due to age.
Parents
  • 0
    Bob,

    Sorry, didn't see your note till now. We've learned the hard way that we can't trust Sophos's technical advice unless we independently verify it. The UTM is certainly an odd mix of being fantastic with best-of-breed OSS technologies, and being unusable due to terrible bugs/decisions at the same time.


    To your question about the SSH key. You can pretty easily setup SSH users manually on the UTM - it's just a linux box. In fact, it's preferable if you need to add a bot-type user (e.g. a user your saltmaster) and you need to restrict their access for that user to just a handful of commands. 

    The web UI happens to only create users with full access, but that's only one way to add SSH users, and that was my comment.
Reply
  • 0
    Bob,

    Sorry, didn't see your note till now. We've learned the hard way that we can't trust Sophos's technical advice unless we independently verify it. The UTM is certainly an odd mix of being fantastic with best-of-breed OSS technologies, and being unusable due to terrible bugs/decisions at the same time.


    To your question about the SSH key. You can pretty easily setup SSH users manually on the UTM - it's just a linux box. In fact, it's preferable if you need to add a bot-type user (e.g. a user your saltmaster) and you need to restrict their access for that user to just a handful of commands. 

    The web UI happens to only create users with full access, but that's only one way to add SSH users, and that was my comment.
Children
No Data