OpenSSH 9.3p2 dichtet hochriskantes Sicherheitsleck ab
Die OpenSSH-Entwickler haben Version 9.3p2 veröffentlicht. Sie schließt eine Sicherheitslücke, die als hochriskant gilt.
(Bild: Alfa Photo/Shutterstock.com)
Die Version 9.3p2 der Verschlüsselungs-Suite und Tool-Sammlung OpenSSH schließt eine Sicherheitslücke. Der Warn- und Informationsdienst des Bundesamts für Sicherheit (WID-BSI) in der Informationstechnik (BSI) stuft sie als hochriskant ein.
Das Problem basiert auf einer unzureichenden Korrektur der Schwachstelle CVE-2016-10009 (CVSS 7.3, Risiko "hoch"), die OpenSSH 7.4 im Jahr 2017 ausbessern sollte. Die PKCS#11-Funktion im ssh-agent in OpenSSH vor 9.3p2 nutzt einen nicht vertrauenswürdigen Suchpfad, wodurch Angreifer Schadcode einschleusen und ausführen können, wenn ein ssh-agent an ein von Angreifern kontrolliertes System weitergeleitet wird (CVE-2023-38408, CVSS nach WID-BSI 8.1, Risiko "hoch").
OpenSSH-Lücke – hochriskant, Missbrauch benötigt aber bestimmte Voraussetzungen
Der Missbrauch setze voraus, dass bestimmte – jedoch nicht genauer genannte – Bibliotheken auf dem System eines Opfers vorhanden seien. Um die Lücke aus der Ferne anzugreifen, müsse der Agent auf ein von Angreifern kontrolliertes System umgeleitet werden, schränken die OpenSSH-Entwickler in der Versionsankündigung ein.
Als Gegenmaßnahme helfe auch, den ssh-agent mit einer leeren PKCS#11/FIDO-Allowlist zu starten, etwa mit dem Aufruf ssh-agent -P '', oder der Konfiguration einer Allowlist, die ausschließlich bestimmte Provider-Bibliotheken umfasse.
Die IT-Sicherheitsforscher von Qualys haben eine detaillierte Analyse der Schwachstelle veröffentlicht. Um den Missbrauch zu verhindern, haben die OpenSSH-Entwickler standardmäßig das Laden von PKCS#11-Modulen durch Remote-Clients unterbunden. Mit einem bestimmten Flag beim Programmaufruf (-Oallow-remote-pkcs11) lasse sich bei Bedarf aber die Funktion nutzen.
Die aktualisierte Software können Administratoren als Quellen etwa mit git herunterladen, oder auf der Portable-Release-Webseite des OpenSSH-Projekts. Dort steht sie für diverse Betriebssysteme zur Verfügung. Linux-Distributionen verteilen die Updates mit der Software-Verwaltung. IT-Verantwortliche sollten prüfen, ob bereits Aktualisierungen für die eigenen Systeme bereitstehen, und diese zügig anwenden.
Ende März hatten die OpenSSH-Entwickler die Version 9.3 der Software veröffentlicht. Darin hatten sie bereits zwei Sicherheitslücken geschlossen und weitere kleinere Fehler behoben.
(dmk)
