Abo
  • Services:

Sicherheitslücke in OpenSSH?

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen

Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Artikel veröffentlicht am ,

Einen Patch für die Sicherheitslücke gibt es bislang nicht, dennoch sei ein OpenSSH-Server, der mit "priv seperation" konfiguriert ist, nicht "exploitable". Daher empfiehlt de Raadt allen Nutzern von OpenSSH, auf die aktuelle Version OpenSSH 3.3p umzusteigen und diese mit UsePrivilegeSeparation zu konfigurieren. Dazu muss in der Datei /etc/ssh/sshd_config "UsePrivilegeSeparation yes" eingetragen sein.

Stellenmarkt
  1. Landesbank Hessen-Thüringen, Offenbach am Main
  2. Thorlabs GmbH, Dachau

Allerdings bringt diese Konfiguration einige Nachteile mit sich, je nach System können einige Funktionen beeinträchtigt werden. Zudem ist die Funktion noch kaum getestet und eine Behebung der eigentlichen Sicherheitslücke stellt eine solche Konfigurationen ebenfalls nicht dar.

Der "sshd" von OpenSSH besteht normalerweise aus etwa 27.000 Zeilen Quelltext, große Teile davon laufen mit Root-Rechten. Wenn aber UsePrivilegeSeparation aktiviert wird, spaltet sich der Deamon in zwei Teile und nurmehr ein kleiner Teil, der etwa 2.500 Codezeilen umfasst, läuft mit Root-Rechten. Der Rest wird in ein "chroot-jail" gesperrt.

Der vollständige Bug-Report einschließlich Patches soll in der Nacht von Donnerstag auf Freitag auf Bugtraq veröffentlicht werden.

OpenSSH erlaubt sicheren Fernzugriff auf Unix- und Unix-ähnliche Systeme und zählt hier zu den verbreitetsten Implementierungen des SSH-Protokolls.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. ab 119,98€ (Release 04.10.)
  3. bei Alternate bestellen

fettesbrot 03. Jan 2003

tja, der unterschied zwischen windows u. linux ist das auf windows sogut wie jeder drauf...

anonymous 25. Jun 2002

Naja, klar ist das blöd aber Software hat nunmal Fehler. OpenSSH hat seit mindestens 5...

André 25. Jun 2002

Hmh, schwere Sicherheitslücke, die derzeit nur umgangen werden kann, wenn man gewisse...


Folgen Sie uns
       


Apple Watch 4 - Fazit

Die neue Apple Watch bleibt für uns das Maß aller Smartwatch-Dinge.

Apple Watch 4 - Fazit Video aufrufen
Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
  3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

    •  /