OpenSSH 9.3 dichtet Sicherheitslecks ab
Die Entwickler von OpenSSH haben Version 9.3 der Verschlüsselungssuite veröffentlicht. Sie schließt Sicherheitslücken und behebt kleinere Fehler.
In OpenSSH 9.3 haben die Entwickler zwei Sicherheitslücken geschlossen. Sie können in eher ungewöhnlichen Situationen auftreten. Die neue Version korrigiert auch weitere kleinere Fehler.
OpenSSH: Smartcard-Schwachstelle
Eine der Sicherheitslücken betrifft das Hinzufügen von Smartcard-Schlüsseln zum SSH-Agent. Hierbei lässt sich eine Beschränkung angeben, welche Hosts und Nutzer ("per-hop destination constraints") sich damit anmelden dürfen. Diese OpenSSH 8.9 hinzugefügte Funktion enthielt einen Logikfehler, durch den die Beschränkungen nicht an den SSH-Agent kommuniziert wurden. Dadurch waren die Einschränkungen schlicht nicht aktiv.
Eine zweite Schwachstelle betrifft Portable OpenSSH. Diese Version enthält eine Fallback-Funktion getrrsetbyname
, die dann in der Funktion VerifyHostKeyDNS
zum Zuge kommt, wenn die Standardbibliotheken aus der Umgebung von Portable OpenSSH die Funktion nicht anbieten. Manipulierte DNS-Antworten können einen Lesezugriff außerhalb der vorgegebenen Speichergrenzen auf dem Stack auslösen. Die OpenSSH-Entwickler glauben, dass sich diese Lücke nicht zu mehr als einem Denial-of-Service missbrauchen lässt, bei dem der Dienst abstürzt. Dennoch betrachten sie alle aus dem Netzwerk provozierbaren Speicherfehler als Sicherheitsfehler, erläutern die OpenSSH-Maintainer in der Versionsankündigung.
In der Ankündigung listen sie auch weitere kleinere Korrekturen und neue Funktionen auf. So können ssh-keygen
und ssh-keyscan
nun mit der Option -Ohashald=sha1|sha256
die verwendeten Hash-Algorithmen für den SSHFP-Fingerabdruck auswählen.
Die aktualisierten Quellen stehen etwa mittels git
zur VerfĂĽgung, aber auch auf Download-Mirrors. Linux-Distributionen dĂĽrften mit ihrer eigenen Softwareverwaltung aktualisierte Pakete anbieten. IT-Verantwortliche sollten zeitnah prĂĽfen, ob die Updates vorliegen und sie bei VerfĂĽgbarkeit anwenden.
Bereits Anfang Februar hatten die OpenSSH-Entwickler in OpenSSH 9.2 zwei Sicherheitslücken abgedichtet. Auch da standen keine CVE-Einträge und konkrete Risikoeinschätzungen etwa nach dem CVSS-Bewertungsschema bereit.
(dmk)