OpenSSH: Kritische Sicherheitslücke nach 19 Jahren geschlossen
Die erste Version von OpenSSH wurde 1999 veröffentlicht. Das Programm erlaubt die Fernwartung über die Secure Shell (SSH) inklusive SSH File Transfer Protocol. OpenSSH ist dabei eine Komplettlösung und beinhaltet einen entsprechenden Client, Dienstprogramm und den dazugehörigen Server.
Sicherheitslücke nach erst 19 Jahren entdeckt
Die erste Version von OpenSSH erschien als OpenSSH 1.2.2 nach einer Abspaltung einer älteren Implementierung von Tatu Ylönen, dem Erfinder des SSH-Protokolls. Bereits OpenSSH 1.2.2 von 1999 soll die von den Forschern von Qualys gefundene Sicherheitslücke besitzen. Seitdem wird OpenSSH in vielen Bereichen der Fernwartung genutzt und hat sich zu einem Quasi-Standard im Embedded-Bereich entwickelt.
Nutzername über Sicherheitslücke herausfindbar
Die Sicherheitslücke erlaubt es einem Angreifer gezielt nach Nutzernamen auf einem Server zu suchen. Ist ein Name auf dem Server registriert, wird eine Verbindung aufgebaut, ist ein Name hingegen auf dem Server nicht registriert, wird direkt eine Fehlermeldung ausgegeben. Theoretisch lässt sich nach dem Herausfinden des Namens über einen Brute-Force-Angriff und durch das Ausprobieren aller möglichen Passwörter, dann sogar ein Zugang zu dem Server realisieren.
Sicherheitslücke wird nicht als kritisch eingestuft
Obwohl die gefundene Sicherheitslücke in allen Versionen von OpenSSH zu finden ist, wird diese nicht als kritisch eingestuft. Selbst mit einem gültigen Nutzernamen lässt sich kein direkter Zugriff auf OpenSSH-Server ohne dazugehöriges Passwort erlangen.
Ab OpenSSH Version 1:6.7p1-1 gepatcht
In den neuesten Versionen von OpenSSH wurde die Sicherheitslücke CVE-2018-15473 bereits behoben. Es wird Anwendern empfohlen zeitnah auf eine der aktuellen Versionen 1:6.7p1-1, 1:7.7p1-1 und 1:7.7p1-4 umzusteigen.
Viele Geräte werden Sicherheitslücke wohl behalten
Vor allem im Embedded-Bereich dürfte die Sicherheitslücke wohl auch in Zukunft zu finden sein. Viele der bereits mit OpenSSH ausgestatteten Geräte werden kaum mit Updates versorgt und dürften dementsprechend mit älteren Versionen des Programmpakets weiter betrieben werden.