Met deze waarschuwing is het Finse SSH Communications Security naar buiten gekomen. Het gaat om een lek in versie 3.0.0 van SSH Secure Shell. Deze software van de Finnen – die onlangs uitkwam – geeft hackers de gelegenheid om volledige controle over Unix-achtige machines te verkrijgen.

SSH Secure Shell is een gebruikersinterface die wordt gebruikt om van afstand in te loggen op systemen.

Normaalgesproken controleert de veelgebruikte software de gebruikersnaam en wachtwoord van mensen die proberen in te loggen. Met versie 3.0.0 gaat dit echter niet helemaal goed. Wie een account gebruikt dat beveiligd is met een wachtwoord dat bestaat uit slechts één of twee karakters loopt risico, zo stelt SSH op haar site. De meeste gebruikers gebruiken een wachtwoord van meer dan twee karakters, maar voor specifieke taken als printers schijnen dergelijke wachtwoorden toch veelvuldig voor te komen.

Iedereen die het wachtwoordveld simpelweg leeg laat kan namelijk een dergelijk account binnentreden en vervolgens volledige controle over de machine verkrijgen. Tot de kwetsbare besturingssystemen behoren volgens SSH verschillende versies van Red Hat Linux, Solaris, Caldera Linux, Suse Linux en HP-UX. Hierbij wordt SSH Secure Shell overigens niet standaard meegeleverd.

Volgens experts gaat het om een ernstige bug. "Het is een vrij groot lek. Secure Shell is een vertrouwd en veelgebruikt stuk software, hoewel niet vanzelfsprekend in de versie van SSH. Ik ben ervan overtuigd dat er nu al scriptjes worden geschreven of zelfs beschikbaar zijn om systemen te scannen op het lek", zo zegt Dan Ingevaldson van Security Systems tegenover CNet.

Er is inmiddels een patch beschikbaar gesteld door de softwaremaker. SSH Secure Shell 3.0.1 moet alle problemen oplossen.