Original-URL des Artikels: https://www.golem.de/0309/27593.html    Veröffentlicht: 24.09.2003 09:27    Kurz-URL: https://glm.io/27593

Erneut Sicherheitslücke in OpenSSH

OpenSSH 3.7.1p2 soll erneut Sicherheitslücken schließen

Die Entwickler von OpenSSH warnen innerhalb kurzer Zeit zum wiederholten Mal vor einer kritischen Sicherheitslücke, die es Angreifern erlaubt, beliebigen Code auf verwundbaren Systemen auszuführen. Betroffen ist auch die erst letzte Woche veröffentlichte Version 3.7p1 von OpenSSH.

Allerdings betrifft die Sicherheitslücke nur die portable Variante von OpenSSH bis einschließlich zur Version 3.7.1p1. OpenSSH unter OpenBSD ist nicht betroffen.

Mehrere Fehler wurden im neuen PAM-Code (Pluggable Authentication Module) entdeckt, mindestens einer darunter ist von außen ausnutzbar. In einer Standard-Installation von OpenSSH wird die PAM-Unterstützung allerdings nicht aktiviert. So sind Standard-Installationen von der Sicherheitslücke nicht betroffen.

Die OpenSSH-Entwickler haben zur Behebung der Sicherheitslücke die neue OpenSSH-Version 3.7.1p2 veröffentlicht. Zudem kann das Deaktivieren der PAM-Unterstützung das Problem vorerst beheben, zumal PAM in der Regel nicht benötigt wird.

OpenSSH 3.7.1p2 kann unter openssh.org heruntergeladen werden.  (ji)


Verwandte Artikel:
OpenSSH 3.7 schließt Sicherheitslücke   
(17.09.2003, https://glm.io/27498 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Windows Catalog: Microsoft verteilt Spectre-Patches künftig selbst   
(01.03.2018, https://glm.io/133093 )
Spionage: Angriff auf Bundesregierung dauert noch an   
(01.03.2018, https://glm.io/133075 )
APT28: Behörden untersuchen Angriff auf Regierungsnetzwerk   
(28.02.2018, https://glm.io/133063 )

© 1997–2019 Golem.de, https://www.golem.de/