[Generic/OpenSSH] Neue OpenSSH-Schwachstelle angekündigt
(2002-06-25 09:09:09.306521+00)
Quelle:
http://cert.uni-stuttgart.de/archive/vulnwatch/2002/06/msg00035.htmlDie Entwickler von OpenSSH kündigen die Veröffentlichung einer nicht näher beschriebenen Schwachstelle für die Woche ab dem 1. Juli 2002 an.
Betroffene Systeme
- derzeit unbekannt, vermutlich Systeme mit OpenSSH bis Version 3.3 einschließlich
Nicht betroffene Systeme
- OpenSSH 3.3 mit aktivierter privilege separation soll nicht betroffen sein.
Einfallstor
derzeit unbekannt
Auswirkung
derzeit unbekannt
Typ der Verwundbarkeit
derzeit unbekannt
Gefahrenpotential
unbekannt, vermutlich hoch oder sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Die Entwickler von OpenSSH gaben vor einigen Stunden bekannt, daß Anfang nächster Woche (also am 2002-07-01 oder 2002-07-02) eine nicht nähere beschriebene Schwachstelle in OpenSSH veröffentlicht wird. Leider wurde essentielle Information mit voller Absicht verschwiegen. Es gibt nämlich im wesentlichen zwei unterschiedliche Klassen von Schwachstellen in OpenSSH (und anderen SSH-Implementierungen):
- Schwachstellen, die Zugriff auf den SSH-Server ermöglichen, ohne daß Authentifizierung notwendig wäre. Meist ist dann ein remote root exploit möglich. Die Schwachstelle im CRC32 Attack Detector gehört hierzu.
- Schwachstellen, die authentifizierten Benutzern gestatten,
root-Rechte auf dem SSH-Server zu erlangen. Ein Beispiel hierfür ist die Schwachstelle in der Channel-Verarbeitung.
Leider ist die Behauptung, daß privilege separation gegen die Schwachstelle hilft, kein Garant dafür, daß der erste Fall nicht eingetreten ist. Das RUS-CERT wird demnächst in einer Nachricht an die Netzverantwortlichen darlegen, wie die Planungen für den äußersten Notfall aussehen.
Workaround
Der Umstieg auf OpenSSH 3.3 mit eingeschalteter privilege separation soll Abhilfe schaffen. (Verifiziert werden konnte dies nicht.)
Leider ist nicht davon auszugehen, daß diese Funktionalität auf allen Systemen, die an der Universität Stuttgart eingesetzt werden, auf Anhieb funktioniert. Zum Erfahrungsaustausch hat das RUS-CERT eine Mailingliste eingerichtet, die Sie durch Senden einer Nachricht an
abonnieren können. (Es besteht übrigens der Verdacht, daß das Gefahrenpotential mit dem Hintergedanken verschwiegen wurde, daß so mehr Leute das Schlimmste annehmen und Arbeitszeit in die Portierung von privilege separation investieren.)Gegenmaßnahmen
derzeit unbekannt
Weitere Artikel zu diesem Thema:
- [Generic/OpenSSH] Schwachstelle in bestimmten Authentifizierungsverfahren (2002-06-27)
Details zur angekündigten OpenSSH-Schwachstelle wurden bereits jetzt veröffentlicht. Die Zahl der betroffenen Systeme ist weitaus geringer, als nach der Ankündigung anzunehmen war.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=856