Buffer Overflow in SSH-Alternative LSH [Update]

Nachdem Anfang der Woche das OpenBSD-Team einen Fehler in OpenSSH gemeldet hatte, wurde in einigen Foren empfohlen, auf alternative Lösungen umzusteigen, wie zum Beispiel LSH, eine freie GNU-Implementierung von SSH. Leider bestätigte gestern der Entwickler von LSH, Niels Möller, in der LSH-Mailing-Liste einen Buffer Overrun in der Funktion read_line.c(). Ob sich der Fehler für einen Einbruch in das System ausnutzen lässt, war zu diesem Zeitpunkt noch unklar: "I'm *not* going to bet that it isn't exploitable." schrieb Möller in einem Posting. Darin empfiehlt er das Einspielen des Patches oder den Dienst zu deaktivieren. Nach seinen Angaben ist der Fehler in LSH seit Mitte 99 enthalten. Betroffen sind nicht nur der Entwicklerzweig bis 1.5.2, sondern auch alle Stable-Versionen bis einschließlich 1.4.2.

Ein Root-Exploit dazu ist heute auf der Mailing-Liste Full Disclosure erschienen. Ob er wirklich funktioniert, wurde noch nicht bestätigt. Allerdings soll er nur dann eine Shell öffnen, wenn der LSH-Dienst nach einem Start noch keine einzige Verbindungsanfrage hatte -- andernfalls stürzt der Dienst ab. Da der Sourcecode für den Exploit aber nun öffentlich verfügbar ist, dürften verbesserte Versionen nicht lange auf sich warten lassen.

Update: Niels Möller hat die Stable-Version 1.4.3 und die Development-Version 1.5.3 freigegeben. Der Buffer Overrun und zwei weitere ähnliche Fehler wurden dort behoben. Möller weist in seiner Meldung auf Bugtraq nochmals eindringlich darauf hin, LSHD zu deaktivieren, wenn ein Upgrade oder das Einspielen der Patches nicht möglich sei.

Siehe dazu auch: (dab)

• Security Advisory von Niels Möller
• OpenSSH 3.7 schließt Sicherheitsloch auf heise Security