News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

[Termy]

Der Angreifer muss doch bereits authentifiziert sein, wenn ich das richtig verstehe.

Ne, das dürftest du falsch verstehen:

allows unauthenticated remote code execution (RCE) as root

Aber jetzt wo du es sagst steht das in der News tatsächlich falsch drin @Kaito Kariheddo

 

[Creeping.Death]

Hast du da mal ein Beispiel?

Da muss ich kein Beispiel herauskramen.

Aber überfliege nur mal die letzte Umfrage zum Thema "Wie schützt ihr euren PC" (oder so ähnlich). Dort waren es die Linuxuser, die sich eher sorgenfrei sahen.
Beachte auch, dass ich geschrieben habe "...Anschein vermittelt..." und nicht "hat gesagt".
Beim Lesen des besagten Threads könnte man schon auf den Gedanken kommen, dass offener Quellcode vor allen Gefahren schützt.

Wer das hinterfragt, dem leuchtet aber schnell ein, dass auch Open Source nur von Menschen gemacht wird. Ich mache sehr viel mit Heimautomatisierung und setze da auch auf Linux und fast ausschließlich Open Source. Natürlich sind da viele Bugs drin, die teilweise mehrfach im Monat gefixt werden müssen und Bugs bedeuten eben manchmal auch Sicherheitslücken.

Mir ist es wichtig zu betonen, dass meine ursprüngliche Aussage nicht aus der Ecke der Windows-Fans kommt, denen jetzt "die Hose aufgeht", nur weil mal eine Sicherheitslücke in Linux (bzw. einer Lib) die Runde macht.

 

[pseudopseudonym]

@Termy Schade, die Version von @Kaito Kariheddo gefällt mir besser

 

[Termy]

Beachte auch, dass ich geschrieben habe "...Anschein vermittelt..." und nicht "hat gesagt".

Du kreidest anderen also deinen eigenen, subjektiven Eindruck an?

Natürlich hast du absolut Recht, dass auch FOSS nicht vor Lücken schützt - allerdings:

• werden Lücken in der Regel schneller/einfacher gefunden (bestes Beispiel aus jüngster Vergangenheit: xz - in geschlossener Software wäre diese Backdoor wohl Jahre- bis Jahrzehntelang unbemerkt geblieben, weil Leute wie Freund keine Möglichkeit gehabt, die Performance-Regression zu untersuchen)
• ist der Umgang mit gefundenen Lücken in aller Regel bedeutend besser als bei geschlossener Software, ganz einfach weil man sich nicht verstecken und den Kopf in den Sand stecken kann. Somit "muss" man es zwangsweise richtig machen.

die Version von @Kaito Kariheddo gefällt mir besser

Da dürfte wohl jeder zustimmen

 

[bad_sign]

Gestern wurde doch schon ein Patch ausgerollt oder nicht? Meine Manjaros haben beide einen Patch zu OpenSSH eingespielt

 

[pseudopseudonym]

Aber überfliege nur mal die letzte Umfrage zum Thema "Wie schützt ihr euren PC" (oder so ähnlich). Dort waren es die Linuxuser, die sich eher sorgenfrei sahen.

Weiß ich nicht, da waren auch Leute bei, die stolz erzählt haben, wie sicher ihr veraltetes Windows 7 aufgrund eines Virenscanners und ihrer tollen Brain.exe sei.

Hier
https://www.computerbase.de/forum/t...-an-bedeutung-auf-steam-fast-platz-1.2201545/
findest du auch einige, die nach Supportende bei Win10 bleiben wollen, sorgenfreier geht's nicht mehr.
Dieses Festklammern an veralteten Versionen ohne Sicherheitsupdates scheint mir unter Linux deutlich seltener zu sein.

 

[Hamburg]

Der Open SSH Client ist auch per default als optionales Feature in Windows 11 (Home) installiert.
Der überwiegende Teil der (Home) Nutzer wird gar nicht wissen, wofür das ist und wie man das bedient.

 

[nutrix]

Die Behauptung Linux sei "per se sicher" ist quatsch, dass behauptet abseits von Memes kein ernstzunehmender Linuxuser.

Ja, red mal mit einigen Forenteilnehmern hier darüber. 🙃

Verstehe aber auch nicht inwieweit die Transparenz hier ein Problem darstellt. Wäre dir lieber du hättest keine Möglichkeit zu erfahren, was für Schwachstellen alle aufgedeckt werden für dein OS?

Tut es doch gar nicht, ich finde sie gut. Wie gesagt, ich bin einer der wenigen ihr, der vermutlich jeden Tag die ganzen Meldungen verfolgt und dann die Arbeit hat, permanent alle Server zu patchen, egal ob Windows oder Unix oder Linux...

Ergänzung (3. Juli 2024)

Es geht um das Programm OpenSSH - im Grunde "Remotesoftware".

Äh, was willst Du mir damit sagen? Mir mußt Du sowas nicht erklären, ich mach das seit vielen Jahrzehnten beruflich.

 

[Ranayna]

Schau'n mer mal welche unserer Herstellerappliances so alle betroffen sein werden.
Vieles setzt ja inzwischen direkt auf Linux als Betriebssystem.
Viel Netzwerktechnik setzt openSSH in irgendeiner Art und Weise ein. Und vieles davon hat nicht allzuviel RAM fuer das System, so das 32bit Versionen weit verbreitet sein duerften.

Da kann man dann auch nicht selber patchen und man ist auf Updates der Hersteller angewiesen.

 

[nutrix]

Da kann man dann auch nicht selber patchen und man ist auf Updates der Hersteller angewiesen.

Ja, das ist richtig übel, und man sitzt hier wie auf Kohlen, weil diverse Abteilungen schon nachfragen und das Security Team einem schon im Nacken sitzt.

Das ist eben das Drama, viele Hersteller übernehmen einfach, ohne auch mal zu verifizierten, patchen, Änderungen zu machen. Sie profitieren alle nur von OpenSource, bringen aber dazu relativ wenig ein, und schotten wiederum ihre Systeme ab.

Ergänzung (3. Juli 2024)

Unter Linux lässt sich das wenigstens systematisch und einfach patchen. Wenn ich sehe wie gut und organisiert das in der Linuxwelt ist, hab ich eher Grauen davon, wie so etwas außerhalb davon läuft.

Nur mal so als Info, viele Hersteller nutzen Linux wie BSD/open-/freeBSD für ihre Betriebssystem in allen möglichen Appliances wie Router, Switches, Firewalls, Loadbalancer, Proxys, Medienclients usw uvm. Da hängt ein Riesenrattenschwanz dran, nicht nur Rechner mit Linux und Linuxserver. Das ist im wahrsten Sinne des Wortes RIESIG, und aktuell die Hölle für alle Admins und Netzwerker.

 

[Kaito Kariheddo]

@Termy Danke für den Hinweis, was so ein kleines Wort für Auswirkungen haben kann 😅

 

[Ranayna]

und das Security Team einem schon im Nacken sitzt.

Ich bin noch relativ entspannt...
Sicherheitsadvisories der Hersteller liegen auch keine vor, geschweige denn Updates. Und das weiss auch unser Security Team
Wir sind nach aussen gut abgesichert, keine der Appliances die in meinem Verantwortungsbereich liegen sind von extern direkt erreichbar. Das nimmt schonmal viel Druck raus, schlaflose Naechte habe ich jedenfalls nicht.

Hoechstens Bedenken wegen der Urlaubsplanung , denn die Versicherung besteht bei sowas natuerlich auf ein zeitnahes Einspielen der Updates sobald die Verfuegbar sind.

 

[Blutschlumpf]

@Blutschlumpf Du meinst das all bei diesen Geräten der SSH Port aktiviert und vom Internet aus erreichbar ist? Warum sollte das sein?

Dass der ein oder andere seine Switche im RZ oder ne IP-Cam mit public IP managed: gibts definitiv.
Zudem kann ich mir vorstellen, dass ziemlich viele Geräte im Intenet hängen von denen du gar nicht ahnst, dass sie es tun (IPv6 an und kein passendes Firewalling auf dem Router = alle Hosts unbewusst public erreichbar).
Manche werden es auch aus Prinzip sein (z.B. DSL-Router).
Zum anderen kann ich mir vorstellen, dass es auch Gefahren abseits des Internets gibt.
Reicht ja wenn der WLAN-AP von nem Hotel z.B. ssh an hat, sich da jemand drüber einloggt und dann mitm mit den Gästen versucht.
Zudem gibt es ja auch Geräte, die selber ein WLAN aufmachen. Da kann ich mir auch Situationen vorstellen in denen das WLAN ungeschützt, aber das gerät mit PW versehen ist und der sshd läuft.

Im Grunde musst du immer vom worst case ausgehen und Möglichkeiten wie die Lücke hier zum Problem wird gibts definitiv.

 

[mike78sbg]

stattdessen -> zusätzlich

Ja ok, das kann man natürlich auch machen.

 

[h00bi]

apt update && apt upgrade regelt. Perfekt. Danke debian.

Open SSH Client ist auch per default als optionales Feature in Windows 11 (Home) installiert.
Der überwiegende Teil der (Home) Nutzer wird gar nicht wissen

und wird dafür dann aber auch keine Portforwardings eingerichtet haben.

 

[blackiwid]

Das wäre ohne Einrichtung am Router überhaupt nicht möglich.

Richtig, hat er aber auch nicht anders behauptet, ja damit sind die meisten Heimnutzer sicher. Gut zur 64bit Diskussion hab ich noch nicht genug informationen aber eine Ausnutzung dort ist auch noch unwahrscheinlicher.

Aber es gibt Leute die sowas natürlich ins Netz frei stellen, und es macht ja sinn das wenn ich was frei gebe am ehesten noch SSH frei gebe und nicht was weiß ich telnet oder windows datei freigabe...

Ergänzung (3. Juli 2024)

Dort waren es die Linuxuser, die sich eher sorgenfrei sahen.

Ich glaub du verstehst generelle Sicherheit mit absoluter falsch, ich denke ich Generalitäten wenn 99% der Frauen sich für Kleidung und Schuhe interessieren dann sage ich das Frauen sich mehr für Schuhe interessieren, ich konzentriere mich nicht auf die Ausnahmen, da die nun mal weniger Bedeutung haben wie die Regel wenn ich ner Frau begegne hab ich damit mehr recht wie wenn ich mich auf die Ausreißer konzentriere, etwas sehr menschliches Mustererkennung.

Und zum Thema Sicherheit war die Frage was hilft mehr schnelle Updates oder Antiviren software oder andere anti exploit software, und dieser Fall bestätigt meine Haltung unter der News das schnelle häufige updaten hilft, jegliche Sicherheitssoftware hilft gegen den BUG 0.

Und ja natürlich ist SSH selbst eine "Sicherheitssoftware" und man kann sicher auch mit Wireguard etwas machen, nur ist das was anderes wie irgendwelche Scanner darum ging es ja und natürlich benutze ich die im Router aktivierte Firewall... also man kann das auch bisschen ins extreme ziehen was ich sage... ja ich glaube an ne DMZ das ist ein sehr guter Schutz das mit schnellen patches unter Linux reicht eben für 99,999% und dann muss man sein Risiko/Aufwand abwägen, ist man ein Target wo Leute unbedingt hin wollen, ja dann kann man auch 0day exploit angriffe erwartet, dann hilft wie bei Snowden vielleicht nur noch das Handy in den Kühlschrank legen wenn man sich unterhält

 

[Y-Chromosome]

Wie funktioniert dann die Anmeldung, über einen Schlüssel bzw. automatisch vom Client?
Steht der Wert 0, nicht für keine Zeit für die Eingabe?

Der Wert 0 bedeutet, dass es kein Limit gibt:

login_grace_time
             Gives the grace time for clients to authenticate themselves (default 120 seconds).  If the client fails to authenticate the user within this
             many seconds, the server disconnects and exits.  A value of zero indicates no limit.

 

[Der_Dicke82]

Dürfte auch einige PiHoles oder überhaupt Raspi Projekte betreffen, oder?

Nur wenn der Router auch port 22 bzw. den genutzten port für SSH weiterleitet.

edit: ich bin so etwas von late

 

[metoer]

Mein Debian NAS war bereits gefixed, meinen Arch Desktop habe ich gerade geupdated.
Ein SSH Port ist bei mir von außen eh nicht erreichbar, von daher wäre eh nichts passiert.

 

[AlphaKaninchen]

Mit nichtbetroffenesBetriebssystemeinfügen.meme wäre das nicht passiert.

Richtig? Oh, wait ...

Die Ironie ist das man hier mit dem OS der OpenSSH Entwickler tatsächlich sicher ist, die Nutzer dieses betonen auch bei jeder Gelegenheit dessen Sicherheit, daher...

Mit OpenBSD wäre das nicht passiert!!!