News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

[up.whatever]

Es wäre schön, wenn Ihr bitte für RHEL basierte Distros noch folgenden Guide auflisten würdet

Es wäre vor allem schön, wenn Red Hat zeitnah Patches veröffentlichen würde. Alma Linux 9 hat schon einen Patch, Oracle Linux 9 hat schon einen Patch, nur das teuer bezahlte Red Hat bekommt es nicht auf die Reihe.

 

[metoer]

An die "zum Glück nutze ich Windows/Mac" Fraktion:

Does this vulnerability affect macOS or Windows?​

While it is likely that the vulnerability exists in both macOS and Windows, its exploitability on these platforms remains uncertain. Further analysis is required to determine the specific impact.

https://blog.qualys.com/vulnerabili...ode-execution-vulnerability-in-openssh-server

 

[nutrix]

Mit OpenBSD wäre das nicht passiert!!!

Aber FreeBSD. Weiß ich, weil ich Patches von Herstellern für diese Systeme mit FreeBSD installieren mußte.

 

[aid0nex]

Es ist erst ein paar Monate her, da führte ich hier im Forum eine Diskussion und erklärte Leuten, sie sollten Port 22 SSH NICHT offen im Internet (z.B. via Port Forwarding) stellen. Daraufhin wurde ich angegangen das sei ja völliger Quatsch, SSH sei sicher und immer zu vertrauen, schließlich würden ja auch Hosting Anbieter die VMs vermieten die Kisten ihren Nutzern offen über das Internet per SSH zur Verfügung stellen... Nun, da war mein Argument man solle lieber eine doppelte Absicherung vornehmen, z.B. indem man Port 22 SSH nur netzwerkintern anbietet und erst einmal von außen per VPN in das Netz muss um dann per SSH auf die Kiste zuzugreifen ja doch vollkommen richtig, was? Die letzten fast 4 Jahre waren eure Kisten offen... Es hat schon seinen Grund, warum auch in dem Konzern in dem ich arbeite die Security per Internet erreichbare Port 22 grundsätzlich verbietet!

Um den Artikel zu zitieren:

• Der SSH-Zugriff sollte eingegrenzt werden um die Angriffsfläche zu minimieren.

So und nicht anders. Sicherheitskonzepte sind IMMER mehrstufig, damit man bei einer Lücke in einem Protokoll/Tool nicht sofort mit heruntergelassenen Hosen da steht.

Ergänzung (3. Juli 2024)

Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"?

Nichts ist "sicher". Menschen, die das behaupten, sind schlichtweg keine Informatiker.

 

[fixedwater]

Und weg ist die Lücke.

Schau an, sogar das gerne mal gescholtene Manjaro hat das gestern schon gefixt:

 

[nutrix]

Es ist erst ein paar Monate her, da führte ich hier im Forum eine Diskussion und erklärte Leuten, sie sollten Port 22 SSH NICHT offen im Internet (z.B. via Port Forwarding) stellen. Daraufhin wurde ich angegangen das sei ja völliger Quatsch, SSH sei sicher und immer zu vertrauen, schließlich würden ja auch Hosting Anbieter die VMs vermieten die Kisten ihren Nutzern offen über das Internet per SSH zur Verfügung stellen...

Sicherheitskonzepte sind IMMER mehrstufig, damit man bei einer Lücke in einem Protokoll/Tool nicht sofort mit heruntergelassenen Hosen da steht.

Ja, aber da stößt Du hier teilweise auf taube Ohren, ich sag nur mal Secureboot, TPM, Kernisolierung und Co. Und leider ist hier das Verständnis für IT-Sicherheit - sehr diplomatisch formuliert - bescheiden. Aber gut, die Leute hier sind nicht von Fach, meinen, sie könnten mit Virenscanner und Achtsamkeit alles erschlagen. Da sprichste als Sehender für Farben vor lauter Blinden.

Nichts ist "sicher". Menschen, die das behaupten, sind schlichtweg keine Informatiker.

Das brauchst Du mir nicht sagen, und ja, augenscheinlich sind hier viele davon unterwegs, die auf Linux Stein und Bein schwören. 🙃

 

[Ranayna]

nur das teuer bezahlte Red Hat bekommt es nicht auf die Reihe.

Das duerfte dann erklaeren warum ich von HPE noch nichts gehoert habe Die Systeme von denen ich es weiss basieren auf RedHat.
Dann faellt das Updaten wohl doch genau in meine Urlaubszeit

 

[aid0nex]

Ja, aber da stößt Du hier teilweise auf taube Ohren, ich sag nur mal Secureboot, TPM und Co.

Jo, genauso wie bei der Sonntagsumfrage letztes Wochenende, wo direkt Leute ankamen und meinten, sie würden den Windows Defender sofort ausschalten wenn sie ein neues Windows installieren, das würde nur Leistung kosten und sie wären ja ohnehin sicher unterwegs. Man kann von Virenscannern echt halten was man will und sie sind absolut keine Sicherheit für ein sauberes System, aber trotzdem schockiert es mich immer wieder was in einem Nerdforum wie diesem für schwachsinnige Aussagen kommen. Ja, Sicherheit kostet Leistung, erhöht die Komplexität und braucht Hirnschmalz, Zeit und Aufmerksamkeit. Aber sie ist unerlässlich!

Das brauchst Du mir nicht sagen, und ja, augenscheinlich sind hier viele davon unterwegs, die auf Linux Stein und Bein schwören. 🙃

Ich bin auch begeisterter und überzeugter Linuxer, aber ich weiß auch ganz genau dass nichts auf der Welt perfekt ist. Meine Borussia ist das übrigens auch nicht.

 

[Marmormacker]

Äh, was willst Du mir damit sagen? Mir mußt Du sowas nicht erklären, ich mach das seit vielen Jahrzehnten beruflich.

Woher soll ich das wissen? Das macht es noch unverständlicher, wieso du diese Diskussion bzgl. wie (un)sicher Linux ist überhaupt anstößt wenn es hierbei um eine Anwendung (OpenSSH) geht.

 

[nutrix]

Das ist die Tragik von Nutzern wie Dir, die gleich unterstellen, und nicht vorher fragen.

Und mein Kommentar war eine satirische bzw. sarkastische Spitze gegen all die Linux-Fanboys hier in den Diskussionen, die seit Jahrzehnten blind auf Linux schwören und keinen guten Argumenten zugänglich sind, und gleich Windows als unsicher und sonstwas verdammen. Ich bin Pragmatiker, ich nutze alles, und wie der Kollegen @aid0nex es richtig sagte, NICHTS ist sicher, und schon gar nicht in der IT. Deshalb geht man auch schon lange mehrstufig vor, und läßt um sonstwas Entitäten Willen keinen offenen SSH Port, schon gar nicht direkt mit root zu. Das läßt man schon dicht, macht VPN, MFA und Co. drumherum.

Die großen Linux Distributionen haben eh schon root in der sshd-Konfiguration als Standard deaktiviert.

 

[metoer]

Es hat schon seinen Grund, warum auch in dem Konzern in dem ich arbeite die Security per Internet erreichbare Port 22 grundsätzlich verbietet!

Völlig Korrekt, und wenn man schon VPN oder SSH von außen Erreichbar machen will für den externen Port keine Standard Ports nutzen, sondern Ports über 50k.
Die Chance das ein Angreifer bei der eigenen IP die komplette Portrange scannt ist eher gering, eher werden nur die Standard Ports abgeklopft.

 

[Marmormacker]

Das ist die Tragik von Nutzern wie Dir, die gleich unterstellen, und nicht vorher fragen.

Genau gar nichts wurde dir unterstellt.

 

[Joachim Strobel]

Fedora hat heute open SSH aktualisiert

 

[nutrix]

Genau gar nichts wurde dir unterstellt.

Du hast versucht, mir zu erklären, was SSH ist. 🙃 Damit hast Du mir - gelinde gesagt- unterstellt, ein Unkundiger oder DAU zu sein. Nur mal so, ich hample schon seit den 80ern beruflich auf diversen Unixkonsolen rum. 😉 Und das meinte ich, Du belehrst, ohne vorher mal nachzufragen, wenn Du vor Dir hast.

 

[AlphaKaninchen]

Die sind aber von dem Bug auch betroffen. Weiß ich, weil ich Patches von Herstellern für diese Systeme mit OpenBSD installieren mußte.

Gestern hieß es noch das sie nicht betroffen sind da sie syslog-r nutzen welches genau diesen Race Conditions vorbeugt

 

[Helge01]

Die Chance das ein Angreifer bei der eigenen IP die komplette Portrange scannt ist eher gering, eher werden nur die Standard Ports abgeklopft.

Das ist ein Trugschluss. Es gibt Suchmaschinen wie z.B. Shodan (es gibt unzählige davon) die darauf spezialisiert sind. Die scannen den ganzen Tag nach offenen Ports und analysieren die. Als Nutzer dieser Suchmaschinen kann man sich dann z.B. Live-Meldungen per RSS-Feeds von anfälligen Systemen anzeigen lassen. Ein Angreifer macht sich heute kaum noch die Arbeit für einen eigenen Portscan.

Shodan scannt nicht nur die Standardports wie in dem Artikel beschrieben, sondern so gut wie alles.
Kleiner Auszug der letzten Stunde von Scannern, die gerade bei mir an meinem Anschluss einen Portscan genau zu diesem Zweck machen.

 

[up.whatever]

Völlig Korrekt, und wenn man schon VPN oder SSH von außen Erreichbar machen will für den externen Port keine Standard Ports nutzen, sondern Ports über 50k.
Die Chance das ein Angreifer bei der eigenen IP die komplette Portrange scannt ist eher gering, eher werden nur die Standard Ports abgeklopft.

Bei IPv4 wird alles gescannt, da kannst du nichts verstecken. Wenn du dich vor Scans verbergen möchtest, bist du mit einer gut gewählten IPv6 Adresse deutlich besser versteckt, als mit IPv4 und einem hohen Port.

 

[metoer]

@Helge01
Ja gut, aber das verschlingt doch unmengen an Ressourcen oder? Ein Angreifer müsste mich (meine IP) hier gezielt attackieren, und bei einem Dienst wie Shodan gegen Geld meine IP abfragen, warum sollte er das machen?

 

[Helge01]

Ein Angreifer müsste mich (meine IP) hier gezielt attackieren, und bei einem Dienst wie Shodan gegen Geld meine IP abfragen, warum sollte er das machen?

Ein Angreifer sucht z.B. bei Shodan nach SSH Ports mit bekannten Schwachstellen und bekommt dann diese angezeigt (auch wenn nicht Standardport). Wenn zufällig dein Anschluss dabei ist wird dieser dann gezielt angegriffen. So wird das eigentlich mit sämtlichen Diensten im Internet gemacht. Man bestellt was und bekommt es für den Angriff serviert.

Es werden damit effizient riesige Listen von gefundenen Zielen in kurzer Zeit per automatisierten Angriff abgearbeitet.

 

[metoer]

Es werden damit effizient riesige Listen von gefundenen Zielen in kurzer Zeit per automatisierten Angriff abgearbeitet.

Wieder was gelernt, danke.
Also immer schön zeitnah die Lücken stopfen damit man gar nicht erst auf den exploitable Listen auftaucht.