Noch eine Sicherheitslücke in OpenSSH

2. Oktober 2003, 10:41
posten

Auch erst letzte Woche veröffentlichte Version betroffen

Erneut Sicherheitslücke in OpenSSH OpenSSH 3.7.1p2 soll erneut Sicherheitslücken schließen Nachdem die Entwickler von OpenSSH erst letzte Woche vor einer Sicherheitslücke gewarnt hatten (der WebStandard berichtete), gibt es nun schon wieder ein Gefahrenpotential zu melden. Innerhalb kurzer Zeit müssen die Entwickler nun zum wiederholten Mal vor einer kritischen Sicherheitslücke warnen - die neu entdeckte Lücke ermöglicht es Angreifern beliebigen Code auf den verwundbaren Systemen auszuführen. Laut Entwickler-Angaben ist auch die erst kürzlich veröffentlichte Version 3.7p1 von OpenSSH betroffen.

Nur die portable Variante

Die Entwickler melden allerdings, dass nur die portable Variante von OpenSSH bis einschließlich Version 3.7.1p1 von der Sicherheitslücke betroffen ist, OpenSSH unter OpenBSD gilt als nicht gefährdet. Die Entwickler haben gleich mehrere Fehler im neuen PAM-Code (Pluggable Authentication Module) entdeckt; davon ist mindestens einer von außen ausnutzbar. Da in der Standard-Installation von OpenSSH die PAM-Unterstützung nicht aktiviert ist, sind Standard-Installationen ebenfalls von der Sicherheitslücke nicht betroffen. Die OpenSSH-Entwickler haben nun die neue Version 3.7.1p2 veröffentlicht.(red)

Share if you care.