Gerüchte um kritische Lücke in OpenSSH unter Red Hat Enterprise Linux
Laut einem Posting soll die Lücke nur in der unter Centos/Red Hat Enterprise Linux (RHEL) eingesetzten Version zu finden sein. Red Hat konnte die Lücke bislang weder bestätigen noch dementieren.
Ein Posting im Web-Hosting-Talk-Forum nährt derzeit Spekulationen über eine kritische Sicherheitslücke im OpenSSH-Server unter Centos/Red Hat Enterprise Linux (RHEL). Laut Posting soll die Lücke in der dort eingesetzten OpenSSH-Version 4.3 zu finden sein. Zwar ist die Versionsnummer schon einige Jahre alt, allerdings pflegen die Red-Hat-Entwickler Patches für ältere Versionen zurückzuportieren, sodass die Software durchaus auf dem aktuellen Stand sein kann.
Gemunkelt wird aber, dass die Entwickler beim Portieren einen Fehler eingebaut haben, der nun möglicherweise bereits für Einbrüche in Server ausgenutzt wird. Ins Netz gestreute Protokolle von erfolgreichen Angriffen, wie zuletzt bei ssanz.net und vor wenigen Wochen astalavista.com könnten ebenfalls daraufhin deuten, dass ein Zero-Day-Exploit für eine unbekannte Lücke in bestimmten SSH-Versionen existiert.
Auf Anfrage von heise Security wollte das Red Hat Security Response Team keine Lücke bestätigen. Man habe die Gerüchte ebenfalls wahrgenommen und beobachte die Situtation, um weitere Informationen zu sammeln. Sollte sich bewahrheiten, dass es eine ungepatchte Lücke gebe, wolle man so schnell wie möglich reagieren.
heise Security bittet die Leser um weitere Hinweise, die zur Klärung des Sachverhalts beitragen können. (dab)
