Sicherheitsloch in OpenSSH

Die OpenSSH-Entwickler warnen alle Nutzer vor einer "anstehenden Sicherheitslücke". Es handelt sich offenbar um ein mögliches Remote-Exploit; in einem Posting an die Sicherheitsmailingliste Bugtraq weist Theo de Raadt auf die Anfälligkeit hin, an deren Behebung man bei OpenSSH momentan zusammen mit ISS (Internet Security Systems) arbeitet. OpenSSH ist die Open-Source-Version der SSH-Protokollsuite (Secure Shell), die kryptographisch abgesicherte Kommunikation in unsicheren Netzen ermöglicht.

Die Entwickler gaben bislang keine Details zur Sicherheitslücke bekannt. Die aktuelle Version 3.3. behebt das Problem zwar nicht, aber die Entwickler raten dennoch allen Anwendern, auf die letzte OpenSSH-Version zu aktualisieren und die seit Version 3.3. vorhandene Funktion "Privilege Separated OpenSSH" zu aktivieren -- laut de Raadt sei die Sicherheitslücke dann nicht ausnutzbar. Allerdings funktioniert "Privilege Seperated OpenSSH" nicht unter allen Konfigurationen und Betriebssystemen, sodass dieser Workaround nicht von jedem Nutzer anwendbar ist. Einen Patch für das Sicherheitsloch wird es wohl frühestens Ende dieser Woche geben. (pab)