OpenSSH 3.7 schließt Sicherheitsloch [2. update]
Ein heute Morgen veröffentlichter Patch schließt eine Schwachstelle in OpenSSH bis einschließlich Version 3.6.1.
Ein heute Morgen veröffentlichter Patch schließt eine Schwachstelle in OpenSSH bis einschließlich Version 3.6.1. Bei der Schwachstelle handelt es sich um einen Fehler in der Funktion buffer_append_space() im Modul buffer.c, mit dem ein Angreifer möglicherweise eigenen Code einschleusen kann.
Bei OpenSSH bestätigt man die Schwachstelle und hat ein Advisory mit einem Patch sowie die neue Version OpenSSH 3.7 veröffentlicht, die das Problem -- eine Memory Corruption im Heap -- behebt. Bislang ist nach Aussage von OpenSSH aber unklar, ob das Sicherheitsproblem mittels eines Exploits überhaupt ausnutzbar ist. Im Laufe des heutigen Morgens haben verschiedene Internet-Provider und Rechzentren ein deutlich erhöhtes Traffic-Aufkommen auf Port 22 registriert -- es könnte sich dabei um einen Scanner handeln, der nach anfälligen OpenSSH-Versionen sucht.
Anwender und Administratoren sollten schnellstmöglich auf die aktuelle OpenSSH-Version 3.7 updaten oder die bereitgestellten Patches einspielen. Als Workaround bis zur Update-Möglichkeit empfiehlt sich, den SSH-Port so zu filtern, dass nur bekannte IP-Adressen darauf zugreifen können.
Update: Mittlerweile verdichten sich Gerüchte, dass sich bereits seit einiger Zeit mindestens ein Exploit für die Sicherheitslücke im Umlauf befindet. Mehrere voneinander unabhängige Quellen bestätigten, dass ein solches Programm bereits seit August einer "sehr kontrollierten" Nutzergruppe zur Verfügung stehe. Mit dem Exploit sei es möglich, ohne Zugriff auf ein User-Account alle OpenSSH-Versionen älter als 3.7 zu kompromittieren. Betroffen davon seien sowohl die OpenBSD- als auch die Portable-Versionen.
Möglicherweise ist der Exploit in jüngster Zeit in die falschen Hände geraten und zieht seitdem größere Kreise. Dies könnte auch der Grund für das öffentliche Bekanntwerden der Sicherheitslücke gewesen sein.
Insider gehen davon aus, dass in den nächsten Tagen weitere Exploits auftauchen werden, jetzt da die Lücke allgemein bekannt ist. Aufgrund der zu erwartenden Angriffe sollten Anwender und Administratoren ihre Systeme schnellstmöglichst updaten. Inzwischen haben auch die Linux-Distributoren Debian, EnGuarde und Red Hat reagiert und stellen aktualisierte Pakete bereit.
2. Update: Soeben hat OpenBSD eine überarbeitete Version des Advisories und des Patches sowie eine neue OpenSSH-Version bereitgestellt. Die neue Version 3.7.1 behebt "ähnliche Fehler" wie bereits im vorherigen Update; Anwender und Administratoren sollten demnach auf die aktuellste Version 3.7.1 aktualisieren.
Siehe dazu auch: (pab)
