In una discussione sulla recente vulnerabilità di divulgazione di informazioni OpenSSL, il tema dell'apertura di OpenSSH vulnerabile si avvicinò. Mentre OpenSSH non è vulnerabile a causa del problema che si trova nell'handshake TLS, ha aperto la discussione per la sicurezza di OpenSSH su FreeBSD.
Theo de Raadt ha avuto questo da dire:
... as long as you aren't using FreeBSD or a derivative (hint: Juniper), you are fine. That's the only place I know of an OpenSSH hole.
Questo provenire da qualcuno nella sua posizione è preoccupante. Non so se questa è una pugnalata al progetto FreeBSD, o se è a conoscenza di qualche exploit interno dell'implementazione di OpenSSH su FreeBSD.
Dato che la persona in questione non crede nella divulgazione pubblica, mi chiedo quali passi le persone hanno adottato per attenuare questo enorme difetto di sicurezza, se esiste.