Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-829

[Generic/OpenSSH] OpenSSH 3.2.3 bietet Privilegienreduzierung
(2002-06-05 13:34:15.89921+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/05/msg00261.html

OpenSSH 3.2.3 bietet an, den Programmcode, der Netzwerkverkehr handhabt und mit Benutzerprozessen kommuniziert, mit niedrigeren Privilegien laufen zu lassen.

Betroffene Systeme

  • OpenBSD-Systeme, die OpenSSH verwenden.
  • GNU/Linux
  • Solaris

Beschreibung
OpenSSH 3.2.3 bietet an, mittels sogenannter privilege separation Programmcode, der den Netzverkehr verarbeitet, nicht mehr mit root-Rechten laufen zu lassen. Dies beruht auf der Erfahrung, daß in der Vergangenheit zahlreiche Schwachstellen in OpenSSH bekannt wurden, die deswegen so problematisch waren, weil der Server auch nach der Authentifizierung des Benutzers mit root-Rechten lief.

Die neue Funktion, die sich mit "UsePrivilegeSeparation yes" in der Konfigurationsdatei sshd_config aktivieren läßt, wickelt den Netzverkehr vor der Authentifizierung über einen Subprozeß mit geringeren Rechten ab. Die Authentifzierung und die Allokation von PTYs werden weiterhin von einem privilegierten Monitor-Prozess vorgenommen, der jedoch selbst nicht direkt über das Netz kommuniziert. Nach der Authentifizerung wird die Kommunikation mit den Programmen, die der Anwender auf dem Server startet, ebenfalls von einem nicht privilegierten Prozeß übernommen. Dadurch bóte z.B. der Fehler in der Channel-Verbarbeitung keine Möglichkeit mehr, root-Rechte zu erlangen.

Maßnahmen

  • Installation von OpenSSH 3.2.3 und Aktivierung der UsePrivilegeSeparation-Unterstützung.
Diese experimentielle Funktionalität ist noch nicht auf allen Systemen verfügbar; näheres steht in der Datei README.privsep.

Weitere Information zu diesem Thema

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.