Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

OpenSSH 9.3 dichtet Sicherheitslecks ab

Die Entwickler von OpenSSH haben Version 9.3 der Verschlüsselungssuite veröffentlicht. Sie schließt Sicherheitslücken und behebt kleinere Fehler.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen

(Bild: Shutterstock/chanpipat)

Lesezeit: 2 Min.
Security
Von

In OpenSSH 9.3 haben die Entwickler zwei Sicherheitslücken geschlossen. Sie können in eher ungewöhnlichen Situationen auftreten. Die neue Version korrigiert auch weitere kleinere Fehler.

OpenSSH: Smartcard-Schwachstelle

Eine der Sicherheitslücken betrifft das Hinzufügen von Smartcard-Schlüsseln zum SSH-Agent. Hierbei lässt sich eine Beschränkung angeben, welche Hosts und Nutzer ("per-hop destination constraints") sich damit anmelden dürfen. Diese OpenSSH 8.9 hinzugefügte Funktion enthielt einen Logikfehler, durch den die Beschränkungen nicht an den SSH-Agent kommuniziert wurden. Dadurch waren die Einschränkungen schlicht nicht aktiv.

Eine zweite Schwachstelle betrifft Portable OpenSSH. Diese Version enthält eine Fallback-Funktion getrrsetbyname, die dann in der Funktion VerifyHostKeyDNS zum Zuge kommt, wenn die Standardbibliotheken aus der Umgebung von Portable OpenSSH die Funktion nicht anbieten. Manipulierte DNS-Antworten können einen Lesezugriff außerhalb der vorgegebenen Speichergrenzen auf dem Stack auslösen. Die OpenSSH-Entwickler glauben, dass sich diese Lücke nicht zu mehr als einem Denial-of-Service missbrauchen lässt, bei dem der Dienst abstürzt. Dennoch betrachten sie alle aus dem Netzwerk provozierbaren Speicherfehler als Sicherheitsfehler, erläutern die OpenSSH-Maintainer in der Versionsankündigung.

In der Ankündigung listen sie auch weitere kleinere Korrekturen und neue Funktionen auf. So können ssh-keygen und ssh-keyscan nun mit der Option -Ohashald=sha1|sha256 die verwendeten Hash-Algorithmen für den SSHFP-Fingerabdruck auswählen.

Die aktualisierten Quellen stehen etwa mittels git zur VerfĂĽgung, aber auch auf Download-Mirrors. Linux-Distributionen dĂĽrften mit ihrer eigenen Softwareverwaltung aktualisierte Pakete anbieten. IT-Verantwortliche sollten zeitnah prĂĽfen, ob die Updates vorliegen und sie bei VerfĂĽgbarkeit anwenden.

Bereits Anfang Februar hatten die OpenSSH-Entwickler in OpenSSH 9.2 zwei Sicherheitslücken abgedichtet. Auch da standen keine CVE-Einträge und konkrete Risikoeinschätzungen etwa nach dem CVSS-Bewertungsschema bereit.

(dmk)

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten