Sicherheitslücke in OpenSSH?

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen

Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Artikel veröffentlicht am ,

Einen Patch für die Sicherheitslücke gibt es bislang nicht, dennoch sei ein OpenSSH-Server, der mit "priv seperation" konfiguriert ist, nicht "exploitable". Daher empfiehlt de Raadt allen Nutzern von OpenSSH, auf die aktuelle Version OpenSSH 3.3p umzusteigen und diese mit UsePrivilegeSeparation zu konfigurieren. Dazu muss in der Datei /etc/ssh/sshd_config "UsePrivilegeSeparation yes" eingetragen sein.

Stellenmarkt
  1. Leitung der IT-Einheit für die Integration von Cloud Lösungen (m/w/d)
    Deutsche Bundesbank, Hamburg, Frankfurt am Main, Düsseldorf
  2. Softwareentwickler C++ (m/w/d)
    vitero GmbH, Stuttgart
Detailsuche

Allerdings bringt diese Konfiguration einige Nachteile mit sich, je nach System können einige Funktionen beeinträchtigt werden. Zudem ist die Funktion noch kaum getestet und eine Behebung der eigentlichen Sicherheitslücke stellt eine solche Konfigurationen ebenfalls nicht dar.

Der "sshd" von OpenSSH besteht normalerweise aus etwa 27.000 Zeilen Quelltext, große Teile davon laufen mit Root-Rechten. Wenn aber UsePrivilegeSeparation aktiviert wird, spaltet sich der Deamon in zwei Teile und nurmehr ein kleiner Teil, der etwa 2.500 Codezeilen umfasst, läuft mit Root-Rechten. Der Rest wird in ein "chroot-jail" gesperrt.

Der vollständige Bug-Report einschließlich Patches soll in der Nacht von Donnerstag auf Freitag auf Bugtraq veröffentlicht werden.

Golem Akademie
  1. Data Engineering mit Apache Spark: virtueller Zwei-Tage-Workshop
    25.–26. April 2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, virtuell
Weitere IT-Trainings

OpenSSH erlaubt sicheren Fernzugriff auf Unix- und Unix-ähnliche Systeme und zählt hier zu den verbreitetsten Implementierungen des SSH-Protokolls.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


fettesbrot 03. Jan 2003

tja, der unterschied zwischen windows u. linux ist das auf windows sogut wie jeder drauf...

anonymous 25. Jun 2002

Naja, klar ist das blöd aber Software hat nunmal Fehler. OpenSSH hat seit mindestens 5...

André 25. Jun 2002

Hmh, schwere Sicherheitslücke, die derzeit nur umgangen werden kann, wenn man gewisse...



Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Let's Encrypt: Was Admins heute tun müssen
    Let's Encrypt
    Was Admins heute tun müssen

    Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.
    Eine Anleitung von Hanno Böck

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /