Mit einem aktuellen Update schließt das OpenSSH-Projekt eine Reihe von Sicherheitslücken, und zwei davon haben es wirklich in sich. Ermöglichen diese doch Servern theoretisch den Zugriff auf die geheimen Schlüssel der Nutzer.

Roaming

Auslöser ist ein Fehler in der Roaming-Funktion von OpenSSH, die eigentlich dafür sorgen soll, dass die Verbindung zwischen Client und Server nach einer Unterbrechung wieder automatisch aufgenommen werden kann. Dieses Feature wird zwar kaum genutzt, ist aber in allen OpenSSH-Versionen seit dem Jahr 2010 von Haus aus aktiviert.

Update

OpenSSH-Nutzer sollten angesichts dessen also schleunigst die aktuellsten Updates der Software einspielen. Immerhin könnte sich ein Angreifer mit den privaten Schlüsseln als die jeweilige Zielperson ausgeben, und so im schlimmsten Fall Zugriff auf weitere Server erlangen. Alternativ zur Aktualisierung kann auch einfach die entsprechende Funktion in der SSH-Konfigurationsdatei mit dem Eintrag "UseRoaming no" deaktiviert werden.

Einschätzung

Unklar ist derzeit noch, wie stark die reale Gefährdung für User ist. Immerhin müsste ein Angreifer schon Zugriff auf einen Server haben, mit dem sich ein OpenSSH-Client verbindet. Man-in-the-Middle-Angriffe sollen laut ersten Einschätzungen hingegen nicht möglich sein. (apo, 15.1.2016)