Abo
  • Services:

Sicherheitslücke in OpenSSH?

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen

Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Artikel veröffentlicht am ,

Einen Patch für die Sicherheitslücke gibt es bislang nicht, dennoch sei ein OpenSSH-Server, der mit "priv seperation" konfiguriert ist, nicht "exploitable". Daher empfiehlt de Raadt allen Nutzern von OpenSSH, auf die aktuelle Version OpenSSH 3.3p umzusteigen und diese mit UsePrivilegeSeparation zu konfigurieren. Dazu muss in der Datei /etc/ssh/sshd_config "UsePrivilegeSeparation yes" eingetragen sein.

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. ElringKlinger AG, Reutlingen

Allerdings bringt diese Konfiguration einige Nachteile mit sich, je nach System können einige Funktionen beeinträchtigt werden. Zudem ist die Funktion noch kaum getestet und eine Behebung der eigentlichen Sicherheitslücke stellt eine solche Konfigurationen ebenfalls nicht dar.

Der "sshd" von OpenSSH besteht normalerweise aus etwa 27.000 Zeilen Quelltext, große Teile davon laufen mit Root-Rechten. Wenn aber UsePrivilegeSeparation aktiviert wird, spaltet sich der Deamon in zwei Teile und nurmehr ein kleiner Teil, der etwa 2.500 Codezeilen umfasst, läuft mit Root-Rechten. Der Rest wird in ein "chroot-jail" gesperrt.

Der vollständige Bug-Report einschließlich Patches soll in der Nacht von Donnerstag auf Freitag auf Bugtraq veröffentlicht werden.

OpenSSH erlaubt sicheren Fernzugriff auf Unix- und Unix-ähnliche Systeme und zählt hier zu den verbreitetsten Implementierungen des SSH-Protokolls.



Anzeige
Spiele-Angebote
  1. (-58%) 23,99€
  2. (-20%) 47,99€
  3. (-31%) 23,99€

fettesbrot 03. Jan 2003

tja, der unterschied zwischen windows u. linux ist das auf windows sogut wie jeder drauf...

anonymous 25. Jun 2002

Naja, klar ist das blöd aber Software hat nunmal Fehler. OpenSSH hat seit mindestens 5...

André 25. Jun 2002

Hmh, schwere Sicherheitslücke, die derzeit nur umgangen werden kann, wenn man gewisse...


Folgen Sie uns
       


Sonnet eGFX Box 650W - Test

Die eGFX Box von Sonnet hat 650 Watt und ist ein externes Grafikkarten-Gehäuse. Sie funktioniert mit AMDs Radeon RX Vega 64 und wird per Thunderbolt 3 an ein Notebook angeschlossen. Der Lüfter und das Netzteil sind vergleichsweise leise, der Preis fällt mit 450 Euro recht hoch aus.

Sonnet eGFX Box 650W - Test Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Esa Sonnensystemforschung ohne Plutonium
  2. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  3. Mission Horizons @Astro_Alex fliegt wieder

    •  /