Abo
  • Services:

Sicherheitslücke in OpenSSH?

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen

Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Artikel veröffentlicht am ,

Einen Patch für die Sicherheitslücke gibt es bislang nicht, dennoch sei ein OpenSSH-Server, der mit "priv seperation" konfiguriert ist, nicht "exploitable". Daher empfiehlt de Raadt allen Nutzern von OpenSSH, auf die aktuelle Version OpenSSH 3.3p umzusteigen und diese mit UsePrivilegeSeparation zu konfigurieren. Dazu muss in der Datei /etc/ssh/sshd_config "UsePrivilegeSeparation yes" eingetragen sein.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Allerdings bringt diese Konfiguration einige Nachteile mit sich, je nach System können einige Funktionen beeinträchtigt werden. Zudem ist die Funktion noch kaum getestet und eine Behebung der eigentlichen Sicherheitslücke stellt eine solche Konfigurationen ebenfalls nicht dar.

Der "sshd" von OpenSSH besteht normalerweise aus etwa 27.000 Zeilen Quelltext, große Teile davon laufen mit Root-Rechten. Wenn aber UsePrivilegeSeparation aktiviert wird, spaltet sich der Deamon in zwei Teile und nurmehr ein kleiner Teil, der etwa 2.500 Codezeilen umfasst, läuft mit Root-Rechten. Der Rest wird in ein "chroot-jail" gesperrt.

Der vollständige Bug-Report einschließlich Patches soll in der Nacht von Donnerstag auf Freitag auf Bugtraq veröffentlicht werden.

OpenSSH erlaubt sicheren Fernzugriff auf Unix- und Unix-ähnliche Systeme und zählt hier zu den verbreitetsten Implementierungen des SSH-Protokolls.



Anzeige
Spiele-Angebote
  1. (-50%) 4,99€
  2. 12,49€
  3. (-20%) 15,99€

fettesbrot 03. Jan 2003

tja, der unterschied zwischen windows u. linux ist das auf windows sogut wie jeder drauf...

anonymous 25. Jun 2002

Naja, klar ist das blöd aber Software hat nunmal Fehler. OpenSSH hat seit mindestens 5...

André 25. Jun 2002

Hmh, schwere Sicherheitslücke, die derzeit nur umgangen werden kann, wenn man gewisse...


Folgen Sie uns
       


Padrone-Maus-Ring - Kampagnenvideo (Indiegogo)

Der Ring des Schweizer Startups Padrone soll die Maus überflüssig machen.

Padrone-Maus-Ring - Kampagnenvideo (Indiegogo) Video aufrufen
Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

Schwerlastverkehr: Oberleitung - aber richtig!
Schwerlastverkehr
Oberleitung - aber richtig!

Der Schwerlast- und Lieferverkehr soll stärker elektrifiziert werden. Dafür sollen kilometerweise Oberleitungen entstehen. Dass Geld auf diese Weise in LKW statt in die Bahn zu stecken, ist aber völlig irrsinnig!
Ein IMHO von Sebastian Grüner

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

    •  /