[Generic/OpenSSH] OpenSSH 3.2.3 bietet Privilegienreduzierung
(2002-06-05 13:34:15.89921+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2002/05/msg00261.html
OpenSSH 3.2.3 bietet an, den Programmcode, der Netzwerkverkehr handhabt und mit Benutzerprozessen kommuniziert, mit niedrigeren Privilegien laufen zu lassen.
Betroffene Systeme
- OpenBSD-Systeme, die OpenSSH verwenden.
- GNU/Linux
- Solaris
Beschreibung
OpenSSH 3.2.3 bietet an, mittels sogenannter privilege separation Programmcode, der den Netzverkehr verarbeitet, nicht mehr mit root
-Rechten laufen zu lassen. Dies beruht auf der Erfahrung, daß in der Vergangenheit zahlreiche Schwachstellen in OpenSSH bekannt wurden, die deswegen so problematisch waren, weil der Server auch nach der Authentifizierung des Benutzers mit root
-Rechten lief.
Die neue Funktion, die sich mit "UsePrivilegeSeparation yes
" in der Konfigurationsdatei sshd_config
aktivieren läßt, wickelt den Netzverkehr vor der Authentifizierung über einen Subprozeß mit geringeren Rechten ab. Die Authentifzierung und die Allokation von PTYs werden weiterhin von einem privilegierten Monitor-Prozess vorgenommen, der jedoch selbst nicht direkt über das Netz kommuniziert. Nach der Authentifizerung wird die Kommunikation mit den Programmen, die der Anwender auf dem Server startet, ebenfalls von einem nicht privilegierten Prozeß übernommen. Dadurch bóte z.B. der Fehler in der Channel-Verbarbeitung keine Möglichkeit mehr, root
-Rechte zu erlangen.
Maßnahmen
- Installation von OpenSSH 3.2.3 und Aktivierung der
UsePrivilegeSeparation
-Unterstützung.
README.privsep
.
Weitere Information zu diesem Thema
- Niels Provos: Privilege Separated OpenSSH
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=829