News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

[0x8100]

@Kaito Kariheddo

Eine Sicherheitslücke in OpenSSH ermöglicht es authentifizierten Angreifern aus der Ferne Root-Zugriff zu erlangen.

nicht-authentifizierten, das ist ein ziemlich wichtiger unterschied.

Die Bewertung mit 9.9 ist damit sehr reißerisch gewählt um Aufmerksamkeit zu bekommen.

die bewertung wurde nicht gewählt, sondern setzt sich aus diversen vorgegebenen kriterien zusammen. und remote + unauthorisert + rce + root ist nun mal so ziemlich das schlimmste was passieren kann.

 

[Weyoun]

Minus mal minus ergibt plus und der Patch eines Patches erzeugt die vorherige Sicherheitslücke. So ist Mathematik.

 

[Xood]

Ich frage mich eher wie viele Millionen Router, Switches, Access Points, TV Boxen, NAS, Wechselrichter, Kühlschränke, Waschmaschinen und was weiß ich was alles noch mit irgendeinem embeffed Linux läuft jetzt für alle Zeit angreifbar sein wird weil es für die Geräte keine Updates mehr vergibt.

Stimmt, ich bin da kein Freund davon das alles irgendwie online gehen muss.
Daher versuche ich nichts in Netz zu lassen, wenn doch dann abgeschottet im LAN und wenn es tatsächlich Internet benötigt, wie mein TV, dann sind alle Ports wie SSH/Telnet geblockt.

 

[DFFVB]

Fehler passieren, überall. Nicht weiter wild. Ich würd emich nur Freuen, wenn die Fraktion, jeder kann ja alles zu jeder Zeit sehen und deswegen ist es sicherer etwas leiser wäre, und Security by Obscurity ist nicht per se schlecht...

 

[Termy]

Aber doch nicht vom Internet aus erreichbar.

Ich würde mich nicht im Geringsten wundern, wenn es genügend hersteller geben würde, die sich per uPNP irgend einen Port holen
Klar, nicht 22, aber optimal ist das trotzdem nicht.

 

[Web-Schecki]

Ich frage mich eher wie viele Millionen Router, Switches, Access Points, TV Boxen, NAS, Wechselrichter, Kühlschränke, Waschmaschinen und was weiß ich was alles noch mit irgendeinem embeffed Linux läuft jetzt für alle Zeit angreifbar sein wird weil es für die Geräte keine Updates mehr vergibt.

In der Regel laufen zumindest Embedded-Geräte nicht mit der vollkommen überladenen glibc, deshalb ist das jetzt in diesem konkreten Fall eher kein Problem. Grundsätzlich hast du aber natürlich recht, dass diese Geräte potenziell ein riesiges Sicherheitsproblem darstellen.

 

[Termy]

und Security by Obscurity ist nicht per se schlecht...

Doch, in der Praxis (in aller Regel) schon - ganz einfach, weil dieses "Sicherheitskonzept" die Firmen incentiviert, an den richtigen Sicherheitskonzepten und deren Umsetzung zu sparen.
Und wir alle wissen, dass 99% der Firmen an solchen Sachen nur genau so viel Aufwand betreiben, wie es für die PR bzw das Vermeiden von zu großen Rufschädigungen oder Schadensersatzansprüchen gerade noch so ausreicht.

 

[JustAnotherTux]

Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"?

Wer so etwas behauptet muss verrückt sein.

Man muß sich nur mal täglich die CVE Meldungen für reinziehen, da wird es einem ganz anders.

Und du meinst wirklich es wäre bei Windows Servern besser ?
Also ich vermute mal das du dich auf Server beziehst, bei anderen Systemen hast du ja keinen SSH Server laufen und im Internetrouter den Port offen.

Tatsache ist das FOSS wegen dem öffentlichen Code besser duchsucht und besser damit herum experimentiert werden kann.
Also auch komplett automatisiert den Code Analysieren oder die Builds mit verschiedenen Libs.

Also nur weil bei einem System mehr gefunden wird heißt es nicht das es weniger sicher ist.

Genauso könnte ich behaupten das ich 100% gesund bin weil ich nie zum Arzt gehe und daher auch nichts gefunden wird

 

[JustAnotherTux]

Open Source heißt nun mal nicht, dass Software dadurch 100% sicher ist.

Ganz genau, allerdings müsste das doch allen klar sein.
100% Sicherheit gibt es in keinem Bereich.

Ergänzung (3. Juli 2024)

Verstehe aber auch nicht inwieweit die Transparenz hier ein Problem darstellt. Wäre dir lieber du hättest keine Möglichkeit zu erfahren, was für Schwachstellen alle aufgedeckt werden für dein OS?

Diese Leute gehen vermutlich auch nicht zum Arzt aus Angst es könnte eine Krankheit entdeckt werden

 

[Creeping.Death]

Ganz genau, allerdings müsste das doch allen klar sein.

Ist es aber leider nicht. Zu oft wird der Anschein vermittelt, dass Open Source gleichzusetzen ist mit "total safe".

 

[Helge01]

Open Source gleichzusetzen ist mit "total safe"

Ich frag mich woher dieser Unsinn eigentlich kommt.

 

[Termy]

Zu oft wird der Anschein vermittelt, dass Open Source gleichzusetzen ist mit "total safe".

Hast du da mal ein Beispiel?
Irgendwie lese ich immer nur solche Aussagen wie die Deine - habe aber noch kein EINZIGES Mal eine (ansatzweise ernstzunehmende) derartige Aussage in irgend einer Form gelesen

 

[Donnerkind]

Es geht um Server, weniger um Client Systeme.

Also auf meinen Clients (PC, Laptop, Tablet) läuft überall ein SSH-Server, um mich schnell von einem zum anderen hangeln zu können, denn …

OpenSSH nutze ich nicht, brauche ich für mein normales System auch nicht.

… darüber kann ich zwischen meinen „normalen“ Systemen Dateien austauschen ohne mich mit Samba oder NFS herumschlagen zu müssen. Ich synchronisiere fast den kompletten Datenbestand der Rechner (Musik, Mails, Dokumente, Fotos) mit Unison, das unten drunter ssh benutzt. Ich kann den Laptop am Bett stehen lassen während ich vom PC im Wohnzimmer aus darauf Updates installiere, u.s.w.

Mua ha ha.... du hast heute meinen Tag gemacht... Danke.

Musste mal sein.🫣

 

[ghecko]

Und weg ist die Lücke.

 

[FuSiOnPaiNz]

Kein Betriebssystem ist zu 100% sicher. Jeder hat seine Stärken und seine Schwächen. Egal ob UNIX/Linux oder Windows, beide haben Bugs/Lücken und die müssen behoben werden. Ich würde beides einsetzen und finde beides gut.

 

[Donnerkind]

Und weg ist die Lücke.

Erster.😜

surface ~ pacman -Qi openssh
Name                     : openssh
Version                  : 9.8p1-1
[…]
Erstellt am              : Mo 01 Jul 2024 10:38:36 CEST
Installiert am           : Mo 01 Jul 2024 22:05:43 CEST

 

[Miuwa]

Wird nicht bei ordentlicher Entwicklung mind. ein Test geschrieben, der sicherstellt, dass die gefundenen Schwachstelle geschlossen ist und es dann auch bleibt? 🤔

Keine Ahnung, wie das bei Openssl gehandhabt wird.

Aber da das ne Race condition ist kannst du mit nem Test vermutlich nicht beweisen, dass die Lücke nichtmehr vorhanden ist.

 

[Donnidonis]

Ich finds einfach Panikmache und Unsinn, so zu tun, als ob SSH nun unsicher wäre, und man stattdessen wireguard nutzen soll.

Naja, WireGuard und ssh sind halt erstmal verschiedene Dinge. Trotzdem ist es sinnvoll, ausschließlich WireGuard zu nutzen, oder eben einen anderen VPN und anschließend alles „lokal“ zu machen.

Du hast halt einen Angriffsvektor weniger, Risiko um 50% minimiert.

 

[Miuwa]

In der Regel laufen zumindest Embedded-Geräte nicht mit der vollkommen überladenen glibc, deshalb ist das jetzt in diesem konkreten Fall eher kein Problem

Hast du da handfeste Zahlen/Erfahrung damit? Inzwischen haben ja auch viele Smarte/embedded geräte eine sehr potente HW und der Grund Linux zu verwenden ist ja gerade, dass es gleich all diese Tools mitbringt.

 

[pseudopseudonym]

Nochmal, weil viele hier von IoT-Geräten usw schreiben: Der Angreifer muss doch bereits authentifiziert sein, wenn ich das richtig verstehe. Damit dürfte doch fast kein Privatnutzer betroffen ein. Wer gibt privat SSH-Zugriffe ohne Root raus?