Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsregreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht
Eine Sicherheitslücke in OpenSSH ermöglicht es nicht authentifizierten Angreifern aus der Ferne Root-Zugriff zu erlangen. Die ursprünglich im Jahr 2006 beseitigte Lücke wurde im Jahr 2020 unbeabsichtigt wieder geöffnet. Über 14 Millionen Systeme im Internet sind potentiell durch „regreSSHion“ gefährdet.
Grundsätzliche Abhilfe, wenn kein Patch vorhanden ist:
1) As root user, open the /etc/ssh/sshd_config
2) Add or edit the parameter configuration:
Code:
LoginGraceTime 0
3) Save and close the file
4) Restart the sshd daemon:
Code:
systemctl restart sshd.service
Mit
Code:
openssh-8.7p1-38.el9_4.1
gibt es nun auch eine fehlerbereinigte Version für Rocky Linux.
Da zigfach im Thread Falschinfos auftauchen, dass damit kein SSH Login mehr möglich wäre, deshalb nochmal hier vorne die Erklärung was LoginGraceTime eigentlich tut:
Code:
login_grace_time
Gives the grace time for clients to authenticate themselves (default 120 seconds). If the client fails to authenticate the user within this
many seconds, the server disconnects and exits. A value of zero indicates no limit.
Hinweis noch: Die Sicherheitslücke wurde am 01.Juli bekannt und ein Angreifer benötigt rund 6-8 Stunden für die Ausnutzung der Lücke. Ist also nicht ganz trivial.
With 100 connections (MaxStartups) accepted per 120 seconds (LoginGraceTime), it takes approximately 3-4 hours to win the race condition. Factoring in ASLR (Address Space Layout Randomization) bypassing, a full exploit could take 6-8 hours on average to obtain a remote root shell. (Quelle)
In der Tendenz ist es das ja auch - sicherER heißt aber eben nicht "sicher"
Und immerhin ist es schon gepatcht und man muss nicht Tage, Wochen, Monate oder gar ewig auf einen Patch warten
TBH verstehe ich die Panik dabei nur sehr bedingt. POC funktioniert nur auf 32bit und dauert selbst dort (unter Idealbedingungen!) 9-12h. Da sind die 9.9 imho definitiv übertrieben.
Vor allem, wenn man bedenkt, dass so trivial auszunutzende Dinge wie z.b. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30078 nur mit 8.8 bewertet werden...
Komisch finde ich auch, dass hier so kurzfristig public gegangen wurde - responsible disclosure sieht irgendwie anders aus...
Insgesamt bestätigt das mich aber wieder darin, SSH nicht direkt ans Netz zu lassen, sondern nur über VPN. Klar kann auch da eine Lücke sein - aber da würde es dann eben zwei gleichzeitig ausgenutzte Exploits benötigen...
Die Behauptung Linux sei "per se sicher" ist quatsch, dass behauptet abseits von Memes kein ernstzunehmender Linuxuser.
Verstehe aber auch nicht inwieweit die Transparenz hier ein Problem darstellt. Wäre dir lieber du hättest keine Möglichkeit zu erfahren, was für Schwachstellen alle aufgedeckt werden für dein OS?
Openssh-server ist auf Ubuntu Client Systemen von vorneherein nicht installiert. Und normale clients (Ubuntu Desktop) werden den auch nicht unbedingt benoetigen. Somit nicht anfaellig, wenn eh nicht installiert.
TBH verstehe ich die Panik dabei nur sehr bedingt. POC funktioniert nur auf 32bit und dauert selbst dort (unter Idealbedingungen!) 9-12h. Da sind die 9.9 imho definitiv übertrieben.
Wenn es die Lösung doch schon gibt, warum sollte man dann warten?
Das man mit dem Public werden wartet, rührt ja daher, damit man noch einen Zeitraum hat, in dem man Patches erstellen kann, ohne das gleich die ganze Welt den Fehler kennt und ausnutzt. Ist ja hier nicht wirklich der Fall
Es ist ein Race Condition. Die sind traditionell sehr schwer zu finden. Vom Sourcecode anschauen wird das nichts. Zumal der code bei so alten Dinsaurieren wie openssh, openvpn, openssl ... einfach viel zu umfassend zu komplex zuviele Optionen und Knöppe hat.
War nicht das erste mal, wird nicht der letzte gewesen sein.
Wer kann verzichtet auf SSH oder sperrt es hinter Wireguard, oder ein Firewall / Port-Knock. Kostet nichts aber macht es sicherer und knippst auch das Grundrauschen aus (Botnetze mit Loginversuchen auf allen IPs nonstop, es ist schlimm)