OpenSSH 9.3 dichtet Sicherheitslecks ab

Die Entwickler von OpenSSH haben Version 9.3 der Verschlüsselungssuite veröffentlicht. Sie schließt Sicherheitslücken und behebt kleinere Fehler.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen

(Bild: Shutterstock/chanpipat)

Lesezeit: 2 Min.
Von

In OpenSSH 9.3 haben die Entwickler zwei Sicherheitslücken geschlossen. Sie können in eher ungewöhnlichen Situationen auftreten. Die neue Version korrigiert auch weitere kleinere Fehler.

Eine der Sicherheitslücken betrifft das Hinzufügen von Smartcard-Schlüsseln zum SSH-Agent. Hierbei lässt sich eine Beschränkung angeben, welche Hosts und Nutzer ("per-hop destination constraints") sich damit anmelden dürfen. Diese OpenSSH 8.9 hinzugefügte Funktion enthielt einen Logikfehler, durch den die Beschränkungen nicht an den SSH-Agent kommuniziert wurden. Dadurch waren die Einschränkungen schlicht nicht aktiv.

Eine zweite Schwachstelle betrifft Portable OpenSSH. Diese Version enthält eine Fallback-Funktion getrrsetbyname, die dann in der Funktion VerifyHostKeyDNS zum Zuge kommt, wenn die Standardbibliotheken aus der Umgebung von Portable OpenSSH die Funktion nicht anbieten. Manipulierte DNS-Antworten können einen Lesezugriff außerhalb der vorgegebenen Speichergrenzen auf dem Stack auslösen. Die OpenSSH-Entwickler glauben, dass sich diese Lücke nicht zu mehr als einem Denial-of-Service missbrauchen lässt, bei dem der Dienst abstürzt. Dennoch betrachten sie alle aus dem Netzwerk provozierbaren Speicherfehler als Sicherheitsfehler, erläutern die OpenSSH-Maintainer in der Versionsankündigung.

In der Ankündigung listen sie auch weitere kleinere Korrekturen und neue Funktionen auf. So können ssh-keygen und ssh-keyscan nun mit der Option -Ohashald=sha1|sha256 die verwendeten Hash-Algorithmen für den SSHFP-Fingerabdruck auswählen.

Die aktualisierten Quellen stehen etwa mittels git zur Verfügung, aber auch auf Download-Mirrors. Linux-Distributionen dürften mit ihrer eigenen Softwareverwaltung aktualisierte Pakete anbieten. IT-Verantwortliche sollten zeitnah prüfen, ob die Updates vorliegen und sie bei Verfügbarkeit anwenden.

Bereits Anfang Februar hatten die OpenSSH-Entwickler in OpenSSH 9.2 zwei Sicherheitslücken abgedichtet. Auch da standen keine CVE-Einträge und konkrete Risikoeinschätzungen etwa nach dem CVSS-Bewertungsschema bereit.

(dmk)