News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

Creeping.Death · 3. Juli 2024

Open Source heißt nun mal nicht, dass Software dadurch 100% sicher ist.

aLanaMiau · 3. Juli 2024

Auf wie viel embedded Hardware wohl dann eine extrem kritische Sicherheitslücke schläft, die nie geschlossen wird?

Termy · 3. Juli 2024

SavageSkull schrieb:
Wenn es die Lösung doch schon gibt, warum sollte man dann warten?

Weil noch nicht alle dazu gekommen sein dürften, die Patches auch einzuspielen? Da es bisher auch nur den POC und keinen Hinweis auf aktives Ausnutzen der Lücke gibt stellt das vorschnelle Veröffentlichen hier eine Gefährdung für die, die nicht sofort patchen dar.

Marmormacker · 3. Juli 2024

nutrix schrieb:
Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"?

Es geht um das Programm OpenSSH - im Grunde "Remotesoftware". Diese findet halt bei vielen Linux Usern Einsatz, die einen OpenSSH Server betreiben, das hat jetzt wenig mit Linux ansich zu tun.
Ich persönlich nutze es um meinen Wohnzimmer PC zu steuern bzw. zu verwalten. Nutze dafür aber ausschließlich Key based Logins. Generell sollte man mit solcher Software vorsichtig sein - genügend Leute scannen IPs um eben nach offenen bzw. falsch verwalteten Servern zu suchen.

Okona · 3. Juli 2024

mike78sbg schrieb:
Interessant wäre zu wissen, ob die Lücke auch funktioniert, wenn eine Anmeldung nur per SSH-Key erfolgen kann.

So wie ich das lese, wahrscheinlich schon. Die Race Condition ist vom Anmeldeverfahren unabhaengig...

Seven2758 · 3. Juli 2024

SavageSkull schrieb:
Dürfte auch einige PiHoles oder überhaupt Raspi Projekte betreffen, oder?

Jap. Kannst mit dem Befehl "ssh -V" überprüfen ob 9.2p1 installiert ist.

For the stable distribution (bookworm), this problem has been fixed in version 1:9.2p1-2+deb12u3.
Quelle

Okona · 3. Juli 2024

Kann man openssh-server nicht auch unter Windows im WSL betreiben?

SSD960 · 3. Juli 2024

Ist schon krass diese Lücke. SSH verwende ich auch aber zum Glück nicht extern.

mike78sbg · 3. Juli 2024

kieleich schrieb:
Wer kann verzichtet auf SSH oder sperrt es hinter Wireguard, oder ein Firewall / Port-Knock.

Das hängt aber davon ab, wie du es benutzt.

SSH kannst du so konfigurieren, dass du dich nur mit SSH Key connecten kannst. Das ist dann nicht soviel anders wie wireguard.
Leider gibt der Artikel nicht her, ob eine key only Verbindung auch betroffen ist.
Andererseits, wenn ja, dann könnte auch wireguard von so etwas betroffen sein. Auch da wirds Lücken geben, die vielleicht noch nicht entdeckt wurden.

Mal von bugs, wie diesem, abgesehen, sind beides (SSH als auch wireguard) sehr sichere Tools zur Verbindung auf andere Rechner. Der Use Case ist aber etwas anders. Mit wireguard will ich auf ein anderes Netzwerk zugreifen, per SSH in der Regel nur auf einen Server.

Okona · 3. Juli 2024

Xood schrieb:
Steht der Wert 0, nicht für keine Zeit für die Eingabe?

Aus man sshd_config

LoginGraceTime
The server disconnects after this time if the user has not suc‐
cessfully logged in. If the value is 0, there is no time limit.
The default is 120 seconds.

D.h. gar keine Zeitbegrenzung, es ist wohl so, dass der Abbruch der Authentifikation genau diese Race Condition hervorruft.

sariash · 3. Juli 2024

Für die Fedora 40 Nutzer, es gibt zwar noch kein 9.8 Paket in den Repositories, aber gestern kam OpenSSH 9.6p1-1.4 raus, dort ist ein backport des 9.8 Fixes für CVE-2024-6387 enthalten.
Quellen:
https://packages.fedoraproject.org/pkgs/openssh/openssh/fedora-40-updates.html
https://src.fedoraproject.org/rpms/openssh/pull-request/78

mike78sbg · 3. Juli 2024

Okona schrieb:
So wie ich das lese, wahrscheinlich schon. Die Race Condition ist vom Anmeldeverfahren unabhaengig...

Ja, das ist eben die Frage. Per SSH Key Anmeldung wird die Verbindung in der Regel sofort zurückgewiesen. Ob daher dieses Anmeldeverfahren vom Server überhaupt durchgeführt wird ist die Frage.

Zensored · 3. Juli 2024

openssh server und client sind installiert via optionale Features von Windows.
OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3
kp wie ich da was updaten soll wenn es keine builds/updates gibt seitens windows.
https://github.com/PowerShell/Win32-OpenSSH/issues/2249

habe openssh voerst inbound/exbound blockiert...

###Zaunpfahl### · 3. Juli 2024

Wird Zeit, dass das Internet mit Rust neu geschrieben wird.

pseudopseudonym · 3. Juli 2024

Eine Sicherheitslücke in OpenSSH ermöglicht es authentifizierten Angreifern aus der Ferne Root-Zugriff zu erlangen.

Also nur Angreifer, die sowieso Zugriff auf das System haben? Dann ist's für die meisten ja entspannt. Im privaten Bereich gibt's vermutlich nicht so viele SSH-Zugriffe ohne Root.

Okona · 3. Juli 2024

mike78sbg schrieb:
Ja, das ist eben die Frage. Per SSH Key Anmeldung wird die Verbindung in der Regel sofort zurückgewiesen. Ob daher dieses Anmeldeverfahren vom Server überhaupt durchgeführt wird ist die Frage.

Der Trick ist ja, dass die Anmeldung kuenstlich bis zum Ende der Grace Time offen gehalten wird.

Schmarall · 3. Juli 2024

Die ursprünglich im Jahr 2006 beseitigte Lücke wurde im Jahr 2020 unbeabsichtigt wieder geöffnet

Wirklich? Ich glaube mittlerweile sind auch dort die Blackhats unterwegs und öffnen Sicherheitslücken ganz bewusst. Sowohl privat zum Spaß, als auch zur Bereicherung, als auch von Regierungsstellen beauftragt.

s1ave77 · 3. Juli 2024

Okona schrieb:
openssh-server nicht auch unter Windows im WSL

Geht direkt via Powershell:

Code:

Add-WindowsCapability -Online -Name OpenSSH.Server*
Start-Service sshd
Set-Service -Name sshd -StartupType 'Automatic'
New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

MR2007 · 3. Juli 2024

Damien White schrieb:
Aber eine Lücke von 2006 wird 2020 geöffnet und 2024 kommt ne News darüber, dass sie noch immer teils offen ist? O.o

Nein, 2020 wurde sie unbeabsichtigt und unbemerkt geöffnet. Am 19.05.2024 hat Qualys diese Lücke erst an die Entwickler gemeldet.

nutrix schrieb:
Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"?

OpenSSH stammt eigentlich aus der für die IT-Sec noch viel relevanteren OpenBSD Welt. Dazu mal das Qualys Aussage:

OpenSSH is one of the most secure software in the world; this vulnerability is one slip-up in an otherwise near-flawless
implementation. Its defense-in-depth design and code are a model and an inspiration, and we thank OpenSSH's developers for their exemplary work.

Unter Linux lässt sich das wenigstens systematisch und einfach patchen. Wenn ich sehe wie gut und organisiert das in der Linuxwelt ist, hab ich eher Grauen davon, wie so etwas außerhalb davon läuft.

Redundanz · 3. Juli 2024

für alle die pfsense betreiben, der system patch ist schon da.

ging ähnlich schnell wie bei terrapin.

News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

Rear Admiral

Lieutenant

Commodore

Lt. Junior Grade

Cadet 3rd Year

Lieutenant

Cadet 3rd Year

Captain

Lt. Junior Grade

Cadet 3rd Year

Cadet 1st Year

Lt. Junior Grade

Cadet 3rd Year

Lt. Commander

Admiral

Cadet 3rd Year

Lt. Commander

Admiral

Commander

Lt. Commander

Ähnliche Themen

Passend zum Thema