Zahlreiche Implementationen des SSH-Protkolls, Version 1.5, enthalten einen Fehler, der es Angreifern ermöglicht, den Sitzungsschlüssel zu ermitteln.

Betroffene Systeme

• Proprietäres SSH 1.2.x (von SSH Communications Security) bis einschließlich Version 1.2.31
• Diverse SSH-Implementationen von anderen Herstellern

Nicht betroffene Systeme

• OpenSSH 2.3.0 (durch Verbindungslimit), sowie spätere Versionen von OpenSSH
• SSH Communications Security SSH 2.x, 3.x (Protokoll 1.5 wird nicht unterstützt, Fallback erzeugt stets neuen Schlüssel)
• SSH Communications Security SSH 1.2.32 und spätere Versionen

Einfallstor
Aktive Manipulation des Netzverkehrs.

Auswirkung
Ein Angreifer kann die SSH-Verbindung im Klartext mitlesen und/oder die übertragenen Daten manipulieren.

Typ der Verwundbarkeit
Designfehler im Protokoll

Gefahrenpotential
mittel

Beschreibung
Zu Beginn einer SSH-Verbindung wird mittels eines kryptographischen Protokolls der symmetrische Sitzungsschlüssel zwischen Client und Server ausgehandelt. Auf Server-Seite kommt dabei eine regelmäßig neu generierter asymmetrischer Schlüssel zum Einsatz, um die Verhandlungen kryptographisch abzusichern. (Dieser asymmetrische Schlüssel ist verschieden vom Host-Schlüssel, der vom Client verwendet wird, um die Identität des Servers zu überprüfen.) Das SSH-Protokoll liefert ein Orakel, welches ermöglicht, durch eine hinreichende Zahl von Anfragen (im Durchschnitt etwa eine Million Stück für einen 1024-Bit-Schlüssel) den asymmetrischen privaten Schlüssel zu rekonstruieren. Die anfälligen Implementationen generieren den entsprechenden Schlüssel nicht häufig genug neu bzw. setzen kein Limit auf die Verbindungszahl.

Gegenmaßnahmen
Installation einer korrigierten Implementation des SSH-1.5-Protokolls.

Weitere Information zu diesem Thema

• Daniel Bleichenbachers (Bell Laboratories) Beschreibung des Angriffs

Weitere Artikel zu diesem Thema:

• [OpenBSD/OpenSSH] Ausfall der RSA-Authentifizierung (2001-02-09)
  Bestimmte Entwicklerversionen von OpenSSH ermitteln nicht, ob der Client tatsächlich im Besitz des private key für die RSA-Authentifizierung ist.
• [Generic/SSH] buffer overflow im CRC attack detector (2001-02-09)
  Der CRC attack detector, der wegen eines Designfehlers im SSH-1-Protokoll aufgenommen werden mußte, besitzt in der üblichen Implementation einen buffer overflow bug.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/