Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-856

[Generic/OpenSSH] Neue OpenSSH-Schwachstelle angekündigt
(2002-06-25 09:09:09.306521+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/vulnwatch/2002/06/msg00035.html

Die Entwickler von OpenSSH kündigen die Veröffentlichung einer nicht näher beschriebenen Schwachstelle für die Woche ab dem 1. Juli 2002 an.

Betroffene Systeme

  • derzeit unbekannt, vermutlich Systeme mit OpenSSH bis Version 3.3 einschließlich

Nicht betroffene Systeme

  • OpenSSH 3.3 mit aktivierter privilege separation soll nicht betroffen sein.

Einfallstor
derzeit unbekannt

Auswirkung
derzeit unbekannt

Typ der Verwundbarkeit
derzeit unbekannt

Gefahrenpotential
unbekannt, vermutlich hoch oder sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Entwickler von OpenSSH gaben vor einigen Stunden bekannt, daß Anfang nächster Woche (also am 2002-07-01 oder 2002-07-02) eine nicht nähere beschriebene Schwachstelle in OpenSSH veröffentlicht wird. Leider wurde essentielle Information mit voller Absicht verschwiegen. Es gibt nämlich im wesentlichen zwei unterschiedliche Klassen von Schwachstellen in OpenSSH (und anderen SSH-Implementierungen):

  1. Schwachstellen, die Zugriff auf den SSH-Server ermöglichen, ohne daß Authentifizierung notwendig wäre. Meist ist dann ein remote root exploit möglich. Die Schwachstelle im CRC32 Attack Detector gehört hierzu.
  2. Schwachstellen, die authentifizierten Benutzern gestatten, root-Rechte auf dem SSH-Server zu erlangen. Ein Beispiel hierfür ist die Schwachstelle in der Channel-Verarbeitung.
Schwachstellen der zweiten Art sind weitaus weniger gravierend und für eine Vielzahl von Maschinen (Workstations mit nur einem Benutzer, Server mit SSH-Zugang nur für Wartungszwecke) in der Praxis irrelevant.

Leider ist die Behauptung, daß privilege separation gegen die Schwachstelle hilft, kein Garant dafür, daß der erste Fall nicht eingetreten ist. Das RUS-CERT wird demnächst in einer Nachricht an die Netzverantwortlichen darlegen, wie die Planungen für den äußersten Notfall aussehen.

Workaround
Der Umstieg auf OpenSSH 3.3 mit eingeschalteter privilege separation soll Abhilfe schaffen. (Verifiziert werden konnte dies nicht.)

Leider ist nicht davon auszugehen, daß diese Funktionalität auf allen Systemen, die an der Universität Stuttgart eingesetzt werden, auf Anhieb funktioniert. Zum Erfahrungsaustausch hat das RUS-CERT eine Mailingliste eingerichtet, die Sie durch Senden einer Nachricht an

abonnieren können. (Es besteht übrigens der Verdacht, daß das Gefahrenpotential mit dem Hintergedanken verschwiegen wurde, daß so mehr Leute das Schlimmste annehmen und Arbeitszeit in die Portierung von privilege separation investieren.)

Gegenmaßnahmen
derzeit unbekannt

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.