News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

[Creeping.Death]

Open Source heißt nun mal nicht, dass Software dadurch 100% sicher ist.

 

[aLanaMiau]

Auf wie viel embedded Hardware wohl dann eine extrem kritische Sicherheitslücke schläft, die nie geschlossen wird?

 

[Termy]

Wenn es die Lösung doch schon gibt, warum sollte man dann warten?

Weil noch nicht alle dazu gekommen sein dürften, die Patches auch einzuspielen? Da es bisher auch nur den POC und keinen Hinweis auf aktives Ausnutzen der Lücke gibt stellt das vorschnelle Veröffentlichen hier eine Gefährdung für die, die nicht sofort patchen dar.

 

[Marmormacker]

Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"?

Es geht um das Programm OpenSSH - im Grunde "Remotesoftware". Diese findet halt bei vielen Linux Usern Einsatz, die einen OpenSSH Server betreiben, das hat jetzt wenig mit Linux ansich zu tun.
Ich persönlich nutze es um meinen Wohnzimmer PC zu steuern bzw. zu verwalten. Nutze dafür aber ausschließlich Key based Logins. Generell sollte man mit solcher Software vorsichtig sein - genügend Leute scannen IPs um eben nach offenen bzw. falsch verwalteten Servern zu suchen.

 

[Okona]

Interessant wäre zu wissen, ob die Lücke auch funktioniert, wenn eine Anmeldung nur per SSH-Key erfolgen kann.

So wie ich das lese, wahrscheinlich schon. Die Race Condition ist vom Anmeldeverfahren unabhaengig...

 

[Seven2758]

Dürfte auch einige PiHoles oder überhaupt Raspi Projekte betreffen, oder?

Jap. Kannst mit dem Befehl "ssh -V" überprüfen ob 9.2p1 installiert ist.

For the stable distribution (bookworm), this problem has been fixed in version 1:9.2p1-2+deb12u3.
Quelle

 

[Okona]

Kann man openssh-server nicht auch unter Windows im WSL betreiben?

 

[SSD960]

Ist schon krass diese Lücke. SSH verwende ich auch aber zum Glück nicht extern.

 

[mike78sbg]

Wer kann verzichtet auf SSH oder sperrt es hinter Wireguard, oder ein Firewall / Port-Knock.

Das hängt aber davon ab, wie du es benutzt.

SSH kannst du so konfigurieren, dass du dich nur mit SSH Key connecten kannst. Das ist dann nicht soviel anders wie wireguard.
Leider gibt der Artikel nicht her, ob eine key only Verbindung auch betroffen ist.
Andererseits, wenn ja, dann könnte auch wireguard von so etwas betroffen sein. Auch da wirds Lücken geben, die vielleicht noch nicht entdeckt wurden.

Mal von bugs, wie diesem, abgesehen, sind beides (SSH als auch wireguard) sehr sichere Tools zur Verbindung auf andere Rechner. Der Use Case ist aber etwas anders. Mit wireguard will ich auf ein anderes Netzwerk zugreifen, per SSH in der Regel nur auf einen Server.

 

[Okona]

Steht der Wert 0, nicht für keine Zeit für die Eingabe?

Aus man sshd_config

LoginGraceTime
The server disconnects after this time if the user has not suc‐
cessfully logged in. If the value is 0, there is no time limit.
The default is 120 seconds.

D.h. gar keine Zeitbegrenzung, es ist wohl so, dass der Abbruch der Authentifikation genau diese Race Condition hervorruft.

 

[sariash]

Für die Fedora 40 Nutzer, es gibt zwar noch kein 9.8 Paket in den Repositories, aber gestern kam OpenSSH 9.6p1-1.4 raus, dort ist ein backport des 9.8 Fixes für CVE-2024-6387 enthalten.
Quellen:
https://packages.fedoraproject.org/pkgs/openssh/openssh/fedora-40-updates.html
https://src.fedoraproject.org/rpms/openssh/pull-request/78

 

[mike78sbg]

So wie ich das lese, wahrscheinlich schon. Die Race Condition ist vom Anmeldeverfahren unabhaengig...

Ja, das ist eben die Frage. Per SSH Key Anmeldung wird die Verbindung in der Regel sofort zurückgewiesen. Ob daher dieses Anmeldeverfahren vom Server überhaupt durchgeführt wird ist die Frage.

 

[Zensored]

openssh server und client sind installiert via optionale Features von Windows.
OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3
kp wie ich da was updaten soll wenn es keine builds/updates gibt seitens windows.
https://github.com/PowerShell/Win32-OpenSSH/issues/2249

habe openssh voerst inbound/exbound blockiert...

 

[###Zaunpfahl###]

Wird Zeit, dass das Internet mit Rust neu geschrieben wird.

 

[pseudopseudonym]

Eine Sicherheitslücke in OpenSSH ermöglicht es authentifizierten Angreifern aus der Ferne Root-Zugriff zu erlangen.

Also nur Angreifer, die sowieso Zugriff auf das System haben? Dann ist's für die meisten ja entspannt. Im privaten Bereich gibt's vermutlich nicht so viele SSH-Zugriffe ohne Root.

 

[Okona]

Ja, das ist eben die Frage. Per SSH Key Anmeldung wird die Verbindung in der Regel sofort zurückgewiesen. Ob daher dieses Anmeldeverfahren vom Server überhaupt durchgeführt wird ist die Frage.

Der Trick ist ja, dass die Anmeldung kuenstlich bis zum Ende der Grace Time offen gehalten wird.

 

[Schmarall]

Die ursprünglich im Jahr 2006 beseitigte Lücke wurde im Jahr 2020 unbeabsichtigt wieder geöffnet

Wirklich? Ich glaube mittlerweile sind auch dort die Blackhats unterwegs und öffnen Sicherheitslücken ganz bewusst. Sowohl privat zum Spaß, als auch zur Bereicherung, als auch von Regierungsstellen beauftragt.

 

[s1ave77]

openssh-server nicht auch unter Windows im WSL

Geht direkt via Powershell:

Add-WindowsCapability -Online -Name OpenSSH.Server*
Start-Service sshd
Set-Service -Name sshd -StartupType 'Automatic'
New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

 

[MR2007]

Aber eine Lücke von 2006 wird 2020 geöffnet und 2024 kommt ne News darüber, dass sie noch immer teils offen ist? O.o

Nein, 2020 wurde sie unbeabsichtigt und unbemerkt geöffnet. Am 19.05.2024 hat Qualys diese Lücke erst an die Entwickler gemeldet.

Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"?

OpenSSH stammt eigentlich aus der für die IT-Sec noch viel relevanteren OpenBSD Welt. Dazu mal das Qualys Aussage:

OpenSSH is one of the most secure software in the world; this vulnerability is one slip-up in an otherwise near-flawless
implementation. Its defense-in-depth design and code are a model and an inspiration, and we thank OpenSSH's developers for their exemplary work.

Unter Linux lässt sich das wenigstens systematisch und einfach patchen. Wenn ich sehe wie gut und organisiert das in der Linuxwelt ist, hab ich eher Grauen davon, wie so etwas außerhalb davon läuft.

 

[Redundanz]

für alle die pfsense betreiben, der system patch ist schon da.

ging ähnlich schnell wie bei terrapin.