OpenSSH 4.2: Aufräumaktion

Der quelloffene SSH-Server und -Client von OpenSSH ist in Version 4.2 erschienen. Das neue Release fixt diverse, kürzlich veröffentlichte Sicherheitslücken und weitere Fehler und führt neue Leistungsmerkmale ein.

Zu den gestopften Sicherheitslecks gehört ein Fehler in der Behandlung von dynamisch zugewiesenen Port-Forwards. Durch diesen wurden fälschlicherweise so genannte "GatewayPorts" aktiviert, wenn keine explizite Adresse spezifiziert wurde, auf welcher der Server lauschen soll. GatewayPorts ermöglichen den Zugriff auf einen weitergeleiteten Port nicht nur vom authentifizierten SSH-Client, sondern binden den Port an das externe Interface des SSH-Servers. Damit ist der Zugriff auf diesen aber jedermann möglich.

Die Entwickler haben ebenfalls eine Lücke in der GSSAPI -- eine Programmschnittstelle zur Client-Server-Authentifizierung -- geschlossen, durch die ein nicht authentifizierter, über ein anderes Protokoll angemeldeter Benutzer unter bestimmten Umständen ein beglaubigtes GSSAPI-Zertifikat erhalten konnte. Hierzu musste allerdings die Option GSSAPIDelegateCredentials in der SSH-Konfiguration aktiviert sein.

Zu den Neuerungen in dem Paket zur gesicherten Internet-Kommunikation zählen eine neue Kompressionsmethode, die die zlib-Kompression erst nach erfolgreicher Benutzeranmeldung aktiviert. Dies soll das Ausnutzen von Sicherheitslöchern in der zlib-Bibliothek erschweren, die in der Vergangenheit mehrere kritische Lücken offenbarte. Ältere OpenSSH-Versionen bis OpenSSH 3.5 verweigern durch diese Änderung die Zusammenarbeit mit der neuen Fassung, wenn in der Konfiguration die Kompression mit der zlib erzwungen wird. Sie sollten daher auf den aktuellen Stand gebracht werden. Weiterhin haben die Entwickler erneut Code-Audits gegen Fehler bei der Behandlung von vorzeichenbehafteten Integers und solchen ohne Vorzeichen durchgeführt.

Auf der OpenSSH-Mailingliste ist ein ausführliches Changelog zu finden.

Siehe dazu auch: (dmk)

• Changelog auf der OpenSSH-Mailingliste