News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

Kaito Kariheddo

Redakteur
Teammitglied
Registriert
Dez. 2021
Beiträge
656
Eine Sicherheitslücke in OpenSSH ermöglicht es nicht authentifizierten Angreifern aus der Ferne Root-Zugriff zu erlangen. Die ursprünglich im Jahr 2006 beseitigte Lücke wurde im Jahr 2020 unbeabsichtigt wieder geöffnet. Über 14 Millionen Systeme im Internet sind potentiell durch „regreSSHion“ gefährdet.

Zur News: regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht
 
  • Gefällt mir
Reaktionen: henpara, Wilhelm14, Laderemal und 20 andere
Mit nichtbetroffenesBetriebssystemeinfügen.meme wäre das nicht passiert.

Richtig? Oh, wait ...

Aber eine Lücke von 2006 wird 2020 geöffnet und 2024 kommt ne News darüber, dass sie noch immer teils offen ist? O.o

Das ist halt schon etwas langsam tbh.
 
  • Gefällt mir
Reaktionen: Kitsune-Senpai, henpara, dasBaum_CH und 15 andere
Es wäre schön, wenn Ihr bitte für RHEL basierte Distros noch folgenden Guide auflisten würdet:

https://access.redhat.com/security/cve/cve-2024-6387

Grundsätzliche Abhilfe, wenn kein Patch vorhanden ist:

1) As root user, open the /etc/ssh/sshd_config
2) Add or edit the parameter configuration:

Code:
LoginGraceTime 0

3) Save and close the file
4) Restart the sshd daemon:
Code:
systemctl restart sshd.service

Mit
Code:
openssh-8.7p1-38.el9_4.1
gibt es nun auch eine fehlerbereinigte Version für Rocky Linux.

Da zigfach im Thread Falschinfos auftauchen, dass damit kein SSH Login mehr möglich wäre, deshalb nochmal hier vorne die Erklärung was LoginGraceTime eigentlich tut:
Code:
login_grace_time
               Gives the grace time for clients to authenticate themselves (default 120 seconds).  If the client fails to authenticate the user within  this
               many seconds, the server disconnects and exits.  A value of zero indicates no limit.
 
Zuletzt bearbeitet: (Ergänzung II.)
  • Gefällt mir
Reaktionen: Kitsune-Senpai, henpara, rambodieschen und 39 andere
Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"? :mussweg:

Man muß sich nur mal täglich die CVE Meldungen für reinziehen, da wird es einem ganz anders.
 
  • Gefällt mir
Reaktionen: Nobody007, Panteraa, Engaged und 25 andere
Die Version kann man mit ssh -V anzeigen lassen.
 
  • Gefällt mir
Reaktionen: rambodieschen, aid0nex, Teckler und 5 andere
ElliotAlderson schrieb:
Zum Glück nutze ich Windows.
Es geht um Server, weniger um Client Systeme.
Ergänzung ()

Don_2020 schrieb:
Die Version kann man mit ssh -V anzeigen lassen.
Code:
dpkg -l openssh*
liefert noch etwas mehr Übersicht

Hinweis noch: Die Sicherheitslücke wurde am 01.Juli bekannt und ein Angreifer benötigt rund 6-8 Stunden für die Ausnutzung der Lücke. Ist also nicht ganz trivial.

With 100 connections (MaxStartups) accepted per 120 seconds (LoginGraceTime), it takes approximately 3-4 hours to win the race condition. Factoring in ASLR (Address Space Layout Randomization) bypassing, a full exploit could take 6-8 hours on average to obtain a remote root shell. (Quelle)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: redbaron, aid0nex, nyster und 8 andere
Y-Chromosome schrieb:
Code:
LoginGraceTime 0
Wie funktioniert dann die Anmeldung, über einen Schlüssel bzw. automatisch vom Client?
Steht der Wert 0, nicht für keine Zeit für die Eingabe?
 
nutrix schrieb:
Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"?
In der Tendenz ist es das ja auch - sicherER heißt aber eben nicht "sicher" ;)
Und immerhin ist es schon gepatcht und man muss nicht Tage, Wochen, Monate oder gar ewig auf einen Patch warten :D

TBH verstehe ich die Panik dabei nur sehr bedingt. POC funktioniert nur auf 32bit und dauert selbst dort (unter Idealbedingungen!) 9-12h. Da sind die 9.9 imho definitiv übertrieben.
Vor allem, wenn man bedenkt, dass so trivial auszunutzende Dinge wie z.b. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30078 nur mit 8.8 bewertet werden... :freak:

Komisch finde ich auch, dass hier so kurzfristig public gegangen wurde - responsible disclosure sieht irgendwie anders aus...

Insgesamt bestätigt das mich aber wieder darin, SSH nicht direkt ans Netz zu lassen, sondern nur über VPN. Klar kann auch da eine Lücke sein - aber da würde es dann eben zwei gleichzeitig ausgenutzte Exploits benötigen...
 
  • Gefällt mir
Reaktionen: Kitsune-Senpai, sturmpirat, aid0nex und 6 andere
nutrix schrieb:
Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"? :mussweg:

Man muß sich nur mal täglich die CVE Meldungen für reinziehen, da wird es einem ganz anders.
Die Behauptung Linux sei "per se sicher" ist quatsch, dass behauptet abseits von Memes kein ernstzunehmender Linuxuser.

Verstehe aber auch nicht inwieweit die Transparenz hier ein Problem darstellt. Wäre dir lieber du hättest keine Möglichkeit zu erfahren, was für Schwachstellen alle aufgedeckt werden für dein OS?
 
  • Gefällt mir
Reaktionen: MrBurek003, Kitsune-Senpai, Tensai44 und 20 andere
Openssh-server ist auf Ubuntu Client Systemen von vorneherein nicht installiert. Und normale clients (Ubuntu Desktop) werden den auch nicht unbedingt benoetigen. Somit nicht anfaellig, wenn eh nicht installiert.
 
  • Gefällt mir
Reaktionen: Kitsune-Senpai, ElisaMüller und PegasusHunter
Termy schrieb:
TBH verstehe ich die Panik dabei nur sehr bedingt. POC funktioniert nur auf 32bit und dauert selbst dort (unter Idealbedingungen!) 9-12h. Da sind die 9.9 imho definitiv übertrieben.
Ja, das mit den 32 Bit sollte man im Artikel evtl. schon erwaehnen um nicht unnoetig Angst zu schueren.
 
  • Gefällt mir
Reaktionen: rarp, aid0nex, blackiwid und 6 andere
Termy schrieb:
Komisch finde ich auch, dass hier so kurzfristig public gegangen wurde - responsible disclosure sieht irgendwie anders aus...
Wenn es die Lösung doch schon gibt, warum sollte man dann warten?
Das man mit dem Public werden wartet, rührt ja daher, damit man noch einen Zeitraum hat, in dem man Patches erstellen kann, ohne das gleich die ganze Welt den Fehler kennt und ausnutzt. Ist ja hier nicht wirklich der Fall
 
Damien White schrieb:
Das ist halt schon etwas langsam tbh.
Es ist ein Race Condition. Die sind traditionell sehr schwer zu finden. Vom Sourcecode anschauen wird das nichts. Zumal der code bei so alten Dinsaurieren wie openssh, openvpn, openssl ... einfach viel zu umfassend zu komplex zuviele Optionen und Knöppe hat.

War nicht das erste mal, wird nicht der letzte gewesen sein.

Wer kann verzichtet auf SSH oder sperrt es hinter Wireguard, oder ein Firewall / Port-Knock. Kostet nichts aber macht es sicherer und knippst auch das Grundrauschen aus (Botnetze mit Loginversuchen auf allen IPs nonstop, es ist schlimm)
 
  • Gefällt mir
Reaktionen: Kitsune-Senpai, JaeMcBean, aid0nex und 9 andere
OpenSSH nutze ich nicht, brauche ich für mein normales System auch nicht. Alles halb so wild. ^^
 
  • Gefällt mir
Reaktionen: Lora und xXDariusXx
Interessant wäre zu wissen, ob die Lücke auch funktioniert, wenn eine Anmeldung nur per SSH-Key erfolgen kann.
 
  • Gefällt mir
Reaktionen: BoeserBrot
Zurück
Oben