Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-89

[Generic/SSH] Schwachstellen in Server-Implementationen des SSH-1.5-Protokolls
(2001-02-09 17:07:35+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/02/msg00152.html

Zahlreiche Implementationen des SSH-Protkolls, Version 1.5, enthalten einen Fehler, der es Angreifern ermöglicht, den Sitzungsschlüssel zu ermitteln.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Aktive Manipulation des Netzverkehrs.

Auswirkung
Ein Angreifer kann die SSH-Verbindung im Klartext mitlesen und/oder die übertragenen Daten manipulieren.

Typ der Verwundbarkeit
Designfehler im Protokoll

Gefahrenpotential
mittel

Beschreibung
Zu Beginn einer SSH-Verbindung wird mittels eines kryptographischen Protokolls der symmetrische Sitzungsschlüssel zwischen Client und Server ausgehandelt. Auf Server-Seite kommt dabei eine regelmäßig neu generierter asymmetrischer Schlüssel zum Einsatz, um die Verhandlungen kryptographisch abzusichern. (Dieser asymmetrische Schlüssel ist verschieden vom Host-Schlüssel, der vom Client verwendet wird, um die Identität des Servers zu überprüfen.) Das SSH-Protokoll liefert ein Orakel, welches ermöglicht, durch eine hinreichende Zahl von Anfragen (im Durchschnitt etwa eine Million Stück für einen 1024-Bit-Schlüssel) den asymmetrischen privaten Schlüssel zu rekonstruieren. Die anfälligen Implementationen generieren den entsprechenden Schlüssel nicht häufig genug neu bzw. setzen kein Limit auf die Verbindungszahl.

Gegenmaßnahmen
Installation einer korrigierten Implementation des SSH-1.5-Protokolls.

Weitere Information zu diesem Thema

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=89