Abo
  • Services:
Anzeige

Sicherheitslücke in OpenSSH?

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen

Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Anzeige

Einen Patch für die Sicherheitslücke gibt es bislang nicht, dennoch sei ein OpenSSH-Server, der mit "priv seperation" konfiguriert ist, nicht "exploitable". Daher empfiehlt de Raadt allen Nutzern von OpenSSH, auf die aktuelle Version OpenSSH 3.3p umzusteigen und diese mit UsePrivilegeSeparation zu konfigurieren. Dazu muss in der Datei /etc/ssh/sshd_config "UsePrivilegeSeparation yes" eingetragen sein.

Allerdings bringt diese Konfiguration einige Nachteile mit sich, je nach System können einige Funktionen beeinträchtigt werden. Zudem ist die Funktion noch kaum getestet und eine Behebung der eigentlichen Sicherheitslücke stellt eine solche Konfigurationen ebenfalls nicht dar.

Der "sshd" von OpenSSH besteht normalerweise aus etwa 27.000 Zeilen Quelltext, große Teile davon laufen mit Root-Rechten. Wenn aber UsePrivilegeSeparation aktiviert wird, spaltet sich der Deamon in zwei Teile und nurmehr ein kleiner Teil, der etwa 2.500 Codezeilen umfasst, läuft mit Root-Rechten. Der Rest wird in ein "chroot-jail" gesperrt.

Der vollständige Bug-Report einschließlich Patches soll in der Nacht von Donnerstag auf Freitag auf Bugtraq veröffentlicht werden.

OpenSSH erlaubt sicheren Fernzugriff auf Unix- und Unix-ähnliche Systeme und zählt hier zu den verbreitetsten Implementierungen des SSH-Protokolls.


eye home zur Startseite
fettesbrot 03. Jan 2003

tja, der unterschied zwischen windows u. linux ist das auf windows sogut wie jeder drauf...

anonymous 25. Jun 2002

Naja, klar ist das blöd aber Software hat nunmal Fehler. OpenSSH hat seit mindestens 5...

André 25. Jun 2002

Hmh, schwere Sicherheitslücke, die derzeit nur umgangen werden kann, wenn man gewisse...



Anzeige

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, München
  2. Sky Deutschland Fernsehen GmbH & Co. KG, Unterföhring bei München
  3. Ratbacher GmbH, Raum Würzburg
  4. OSRAM GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Mittelerde Collection 25,97€)
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. für 1€ über Sky Ticket (via App auch auf Smartphone/Tablet, Apple TV, PS3, PS4, Xbox One...

Folgen Sie uns
       

  1. Windows 10

    Microsoft will auf Zwangsupdates verzichten

  2. Brio 4K Streaming Edition

    Logitech-Kamera für Lets-Player und andere Streamer

  3. Vor Bundestagswahl

    Facebook löscht Zehntausende Spammer-Konten

  4. Bilderkennung von Google

    Erste Hinweise auf Lens in der Google-App

  5. Open Source

    Node.js-Führung zerstreitet sich über Code-of-Conduct

  6. Enigma ICO

    Kryptowährungshacker erbeuten halbe Million US-Dollar

  7. SNES Classic Mini

    Mario, Link und Samus machen den Moonwalk

  8. Bixby

    Samsungs Sprachassistent kommt auf Englisch nach Deutschland

  9. Apache-Lizenz 2.0

    OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

  10. Knights Mill

    Intels Xeon Phi hat 72 Kerne und etwas Netburst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered im Test: Klick, klick, klick, klick, klick als wär es 1998
Starcraft Remastered im Test
Klick, klick, klick, klick, klick als wär es 1998
  1. Blizzard Der Name Battle.net bleibt
  2. Starcraft Remastered "Mit den Protoss kann man seinen Gegner richtig nerven!"
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

  1. Re: Download oder Installation?

    maverick1977 | 18:59

  2. Re: Kein uPlay Haltung ... Umsatz

    Tuxgamer12 | 18:58

  3. Re: Können die das jetzt bitte auch bei z.B...

    violator | 18:56

  4. Müssen elektrische Autos immer hässlich sein?

    MAGA | 18:54

  5. Re: Ich habe dutzende solcher gefälschten Konten...

    violator | 18:54


  1. 18:04

  2. 17:49

  3. 16:30

  4. 16:01

  5. 15:54

  6. 14:54

  7. 14:42

  8. 14:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel