Start FAQ Software Linux allgemein SSH Sicherheitslücke 14-01-2016
SSH Sicherheitslücke 14-01-2016 PDF Drucken E-Mail
Geschrieben von: Administrator   
Montag, den 18. Januar 2016 um 10:30 Uhr

Sicherheitslücke in SSH Protokoll

 

Am 14.01.2016 gab das BSI eine Warnung heraus das es im SSH Protokoll eine Sicherheitslücke gibt.

 

Betroffen sind folgende Client-Versionen:
• OpenSSH >= Version 5.4
• OpenSSH <= Version 7.1

 

Auszug aus dem BSI-Dokument:

 

Bewertung
Die Schwachstelle ermöglicht einen Angriff auf den OpenSSH Client. Es gibt aber einige Randbedingungen für denAngriff,
die erfüllt sein müssen:
Zur Ausnutzung der Schwachstelle muss eine authentisierte SSH-Verbindung zu einem manipulierten SSH-Serverbestehen.
Sollte der private Schlüssel des OpenSSH Clients durch ein Passwort geschützt sein, so fließt dieses nachbisherigen Erkenntnissen
nicht an den manipulierten Server ab.
Ein Man-in-the-Middle Angriff auf die Schwachstelle ist nicht möglich.
Die Schwachstelle wurde bei einem Code-Audit gefunden. Eine aktive Ausnutzung wurde bislang nicht beobachtet.
Zur Behebung der Schwachstelle stehen Workarounds und Patches zur Verfügung.

 

Maßnahmen
Der OpenSSH Client sollte umgehend auf Version >= 7.1p2 gepatcht werden. Hierfür stehen Patches [2]
des OpenSSH-Projekts zur Verfügung. Erste Distributionen haben bereits Ihre Pakete aktualisiert .
In der Datei "~/.ssh/known_hosts" werden in der Standardkonfiguration alle SSH-Serverschlüssel mit
zugehörigemHostnamen gespeichert (ggf. sind die Einträge gehasht).
Dort kann man überprüfen, ob man Verbindungen zu nichtvertrauenswürdigen SSH Servern hatte.
In diesem Fall, oder wenn die Prüfung zu aufwendig oder nicht durchführbarist, sollte man alle SSH-Schlüssel neu generieren.
Die alten Schlüssel sollten in diesem Fall auch serverseitig aus derDatei "~/.ssh/authorized_keys" gelöscht werden.
Genua-Produkte sind nach eigenen Angaben [3] bei bestimmungsgemäßer Benutzung nicht betroffen.
Workarounds


Die verwundbare Funktion kann mit der undokumentierten Option "UseRoaming no" in der globalenKonfigurationsdatei
"ssh_config" deaktiviert werden. [4]

 

Folgender Befehl fügt unter Linux die Option der SSH Konfigurationsdatei hinzu:
# echo 'UseRoaming no' >> /etc/ssh/ssh_config


Alternativ kann der Client über die Kommandozeile mit dem Parameter "-oUseRoaming=no" aufgerufen werden.

 

(Quelle: CSW-2016-145081_v1 0_UPK_TLP-Green.pdf)

 

Hier noch ein Link zum Thema

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0777

https://www.genua.de/support/produktsupport/security-issues/singleview-si/controller/hinweise-zur-sicherheitsluecke-cve-2016-0777-in-openssh-client.html

 

Nachtrag: 19.01.2016

Wie ich inzwischen erfahren habe, haben alle gängigen Distributionen bereits reagiert und Patches bereitgestellt.

 

 

Viel Spass noch

 

Euer Admin

 
Zuletzt aktualisiert am Dienstag, den 19. Januar 2016 um 15:13 Uhr
 

Powered by hardwarecrash Valid XHTML and CSS.