OpenSSH-Lücken: Anwender sollten Schlüssel umgehend neu generieren oder tauschen
Sie betrifft zahlreiche Linux Distributionen, darunter Ubuntu, sowie auch Mac OS X. Ein Angreifer ist in der Lage, den Speicher eines SSH-Clients auszulesen. OpenSSH-Nutzer sollten sich beeilen, einen Patch einzuspielen, da der Sicherheitsanbieter Qualys schon Beispielcode für einen Exploit freigegeben hat.
Der Sicherheitsanbieter Qualys hat zwei von ihm als schwerwiegend klassifizierte Schwachstellen in OpenSSH gefunden. Die Sicherheitslücken mit den Kennungen CVE-2016-0777 und CVE-2016-0778 stecken in einer “experimentellen” Funktion des Programmpakets, welches als Standard-Implementierung von SSH in der Unix-Welt gilt. Sie soll es Anwendern ermöglichen, Verbindungen wieder aufzunehmen. Laut einem Eintrag in einer Mailing-Liste könnte ein speziell konfigurierter Server einen OpenSSH-Client dazu bringen, den Inhalt seines Speichers und damit auch die privaten Schlüssel des Clients offenzulegen.
Die Schwachstellen stecken in den OpenSSH-Versionen 5.4 bis 7.1. Diese werden unter anderem von OpenBSD, FreeBSD und diversen Linux-Distributionen wie Debian, Ubuntu 12.04, 14.04, 15.04 und 15.10 sowie Red Hat Enterprise Linux 7 (RHEL) genutzt. Darüber hinaus ist auch Mac OS X verwundbar. “Da Apple normalerweise Sicherheitsfixes verzögert, raten wir dazu, den Workaround anzuwenden”, heißt es in der Mailing-Liste.
Dazu können Anwender ihrer SSH-Konfiguration den Eintrag “UseRoaming no” hinzufügen oder ihren SSH-Client mit der Option “-oUseRoaming=no” über die Eingabeaufforderung starten. Die fragliche experimentelle Funktion wird auf diese Weise deaktiviert. Laut OpenBSD sind OpenSSH-Server nicht von der Schwachstelle betroffen, da der Server-Code nie verteilt worden sei.
Für die OpenSSH-Varianten 5.7 und 5.8 sind ab sofort Patches verfügbar. Laut der Mailing-Liste kommen Portable OpenSSH 7.1p2 sowie Snapshots für OpenBSD ab 12. Januar 2016 mit einer Fehlerkorrektur. Für die Mehrzahl der Linux-Distributionen stehe die Aktualisierung ebenfalls ab sofort oder in Kürze zur Verfügung.
Laut Wolfgang Kandek, Chief Technology Officer bei Qualys, hat seine Firma die OpenSSH-Entwickler am 11. Januar über die Lücke informiert. Daraufhin sei der Patch in nur drei Tagen entwickelt worden. Allerdings veröffentlichte Qualys gestern auch Beispielcode für einen Exploit, was den Druck auf OpenSSH-Nutzer erhöht, die verfügbaren Patches so schnell wie möglich zu installieren.
Der Sicherheitsexperte Kenneth White befürchtet, dass die SSH-Schlüssel von Hunderttausenden von Linux-Servern weltweit in Gefahr sind. Außer Linux-Servern seien zudem auch viele Router und Firewalls betroffen. Er rät Administratoren von betroffenen Systemen, egal ob es sich um Hobby-Projekte oder Server mit vertraulichen Daten handelt, die SSH-Schlüssel neu zu generieren oder zu tauschen.
[mit Material von Stefan Beiersmann, ZDNet.de]