Beinahe sechs Jahre ohne Sicherheitslücke

28. Juni 2002, 22:54
16 Postings

OpenBSD-Team änderte nach OpenSSH-Bug den Werbeslogan für ihr Unix-Betriebssystem

In der Standard-Installation der bekannten Open-Source-Version der populären "Secure Shell"-Protokollsammlung wurde ein schwer Software-Fehler entdeckt, der unter Umständen die betroffenen Unix-Systeme für gezielte Denial-of-Service- und Overflow-Angriffe verwundbar macht - der WebStandard berichtete.

Sicher Kommunikation

OpenSSH verschlüsselt unsichere Kommunikation in Netzwerken, beispielsweise über Telnet, Rlogin, Rsh oder FTP. OpenSSH ist in vielen Linux/Unix-Distributionen, Netzwerk-Produkten und Security-Applikationen enthalten.

Ursprung des gefundenen Problems ist der Authentifizierungs-Mechanismus "Challenge Response" des OpenSSH-Hauptprogramms "sshd" (Secure Shell Daemon). Ein Angreifer könnte durch die Schwachstelle mit Hilfe einer bestimmten Zeichenkette den zentralen sshd-Prozess zum Absturz bringen (Denial-of-Service) oder Zugriff auf das System mit den Rechten des Root-Accounts bekommen. Ein bereits verfügbarer Patch auf die Version 3.4 von OpenSSH sollte umgehend von allen OpenBSD-Administratoren installiert werden, falls die eigenen Systeme mit einer betroffenen OpenSSH-Implementation arbeiten. Auf dem genannten FTP-Server finden im Ordner "portable" außerdem verschiedene Patches für andere Plattformen.

"UsePrivilegeSeparation on"

Als temporärer Workaround bietet sich an, die Authentifizierungs-Mechanismen in der Konfigurations-Datei "sshd_config" mit dem Textzusatz "ChallengeResponseAuthentication no"zu deaktivieren. Ab Version 3.2 von OpenSSH lässt sich die Gefahr auch mit dem Konfigurationszusatz "UsePrivilegeSeparation on" entschärfen.

Von der Sicherheitlücke sind neben den OpenSSH-Implementationen 2.9.9 bis 3.2.3. vor allem die Unix-Derivate OpenBSD in den Versionen 3.0 und 3.1 sowie FreeBSD betroffen.

"One remote hole in the default install, in nearly 6 years!"

Der Bug hat besonders das Entwicklerteam von OpenBSD "erwischt", das ihr Hauptaugenmerk auf die Sicherheit des Betriebssystems legt und bis zur der Veröffentlichung der Sicherheitslücke damit warb, dass das System "seit fünf Jahren ohne ein "remote hole" in der Standard-Installation" herausgebracht wurde.

Am Donnerstag wurde nun der Werbeslogan auf der Homepage geändert: "One remote hole in the default install, in nearly 6 years!" (red)

Share if you care.