Schwachstelle in SSH-Spezifikation aufgedeckt
Ein Fehler in der Spezifikation des Secure-Shell-Protokolls (SSH) lässt sich in seltenen Fällen ausnutzen, um Teile des Klartexts zu rekonstruieren. Das Problem soll im CBC-Mode in Zusammenhang mit bestimmten Fehlerzuständen auftreten.
Ein Fehler in der Spezifikation des Secure-Shell-Protokolls (SSH) lässt sich nach Angaben des britischen Centre for the Protection of National Infrastructure (CPNI) in seltenen Fällen ausnutzen, um Teile des Klartexts zu rekonstruieren. Der Beschreibung zufolge gibt es etwa in der Standardkonfiguration von OpenSSH eine Möglichkeit, an beliebiger Stelle des Cipher-Texts auf 32 Bits im Klartext schließen zu können. Für einen erfolgreichen Angriff muss man die Reaktion einer SSH-Verbindung auf verschiedene Fehlerfälle beobachten können und die Fehlersituationen auch herbeiführen können. Die Wahrscheinlich eines erfolgreichen Angriff soll jedoch nur bei 2–18 liegen. In der Regel soll die SSH-Verbindung bei solchen Versuchen zudem abgebaut werden.
Genauere Angaben macht das CPNI nicht, der Angriff soll aber nicht mehr funktionieren, wenn man SSH vom Cipher-Block-Chaining-Mode (CBC) auf den Counter-Mode (CTR) umstellt. Der Counter-Mode macht aus einem Block-Chiffre quasi einen Strom-Chiffre.
Zwar hat das CPNI nur OpenSSH genauer betrachtet, man geht aber davon aus, dass alle RFC-konformen Implementierungen von SSH (RFC 4251) diese Schwäche aufweisen. Tatsächlich hat der Hersteller SSH Communications Security bereits einen eigenen Fehlerbericht veröffentlich, in dem er auf das Problem in seinen SSH-Tectia-Clients und -Servern hinweist. Ein Update soll die Schwäche beheben. Alternativ empfiehlt der Hersteller, auf die Verschlüsselungsalgorithmen CryptiCore oder Arcfour (RC4) umzustellen, bei denen kein CBC zum Einsatz kommt.
Siehe dazu auch:
- Plaintext Recovery Attack Against SSH, Fehlerbericht des CPNI
- Plaintext Recovery Attack Against SSH, Fehlerbericht von SSH Communications Security
(dab)
