OpenSSH fixt einen gravierenden Bug und verbessert die Sicherheit insgesamt

Die Meldung der Sicherheitsfirma Qualys zog zu Recht weite Kreise: Die Experten des Unternehmens hatten eine schwerwiegende Sicherheitslücke in OpenSSH gefunden, die es Angreifern ermöglichte, Linux-Server mit erreichbarem OpenSSH-Server unter ihre Kontrolle zu bringen. Die Forscher tauften die Lücke auf den Namen regreSSHion (von Regression, also Rückschritt), weil es sich um ein seit 2006 bekanntes Problem handelt, das eigentlich längst behoben worden war. Durch eine unachtsame Codeänderung wurde das Problem 2020 wieder eingeführt. So kommt es, dass OpenSSH-Versionen vor Version 4.4p1 für regreSSHion anfällig sind, ebenso wie Versionen ab 8.5p1.

In einem lesenswerten Dokument (siehe ct.de/yer5) erklären die Forscher die diversen Reifen, durch die sie springen mussten, um die Lücke tatsächlich auszunutzen: Letztlich gelang es ihnen aber sogar in drei verschiedenen Versionen von OpenSSH, die Lücke bis zu einer erfolgreichen Remote-Code-Execution auszubauen – darunter auch die zu dem Zeitpunkt aktuelle OpenSSH-Version für Debian 12. Der Aufwand dafür war allerdings enorm und auch der fertige Proof-of-Concept benötigt im Durchschnitt ungefähr 10.000 Verbindungsversuche, um die Lücke auszunutzen. Es handelt sich um eine Wettlaufsituation (race condition), die auftreten kann, wenn der Server nach langem Warten die Verbindung schließt, weil der Client sich nicht anmeldet. Angreifer benötigen eine ordentliche Portion Glück – oder eben viele Versuche –, um den Zeitpunkt exakt zu treffen und die race condition auszulösen.