OpenBSD-Entwickler bezweifeln angebliche OpenSSH-Schwachstelle

Der Exploit soll so schlimm wie der SSL-GAU Heartbleed sein und die wichtige Unix-Bibliothek OpenSSH betreffen. Allerdings sagen viele Entwickler, dass die Lücke wahrscheinlich nicht existiert.

In Pocket speichern vorlesen Druckansicht 91 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Der Exploit präsentiert sich stilecht mit ASCII-Art

Ein anonym im Internet veröffentlichter Hinweis auf eine angebliche OpenSSH-Lücke wird von den Entwicklern der Software als Bluff eingeschätzt. Der im Netz angepriesene Exploit soll das Equivalent von Heartbleed für die Bibliothek OpenSSH sein und steht für 20 Bitcoins (aktuell etwa 6200 Euro) zum Verkauf. Die Hehler behaupten, mit ihrem Schadcode Teile des Speichers des OpenSSH-Prozesses auslesen zu können und so etwa in den Besitz geheimer Schlüssel zu gelangen. Beweise für diese Behauptung liefern sie nicht; die angeführten Informationen können genauso gut gefälscht sein.

Auch Theo de Raadt, der Leiter des OpenBSD-Projektes, welches OpenSSH entwickelt, äußerte sich gegenüber Network World skeptisch: "Wir haben keine Hinweise, dass es echt ist." OpenSSH wird auf fast allen Unix-Derivaten standardmäßig dazu eingesetzt, Systeme aus der Ferne zu administrieren und Daten verschlüsselt zu kopieren. Eine Heartbleed-ähnliche Lücke in dieser Software wäre fatal. Wie auch OpenSSL wird die Software von einem relativ kleinen Entwicklerteam betreut. Das mit der Aufsicht betraute OpenBSD-Projekt wird allerdings von vielen Experten als sehr verantwortungsvoll angesehen und de Raadt genießt den Ruf, Sicherheit äußerst ernst zu nehmen. So hatte OpenBSD es als Konsequenz von Heartbleed auf sich genommen, den OpenSSL-Quellcode zu forken und sicherer zu machen.

Neben de Raadt äußerten sich auch andere Entwickler zu dem angeblichen Exploit und wiesen darauf hin, dass die angebliche Demonstration der Lücke gar keine ist und das Dokument noch weitere Ungereimtheiten aufweist. So stimmen etwa die Größenangaben in den Datei-Auflistungen nicht überein. (fab)