Deutsch | English

Sicherheitslücke in OpenSSH (Update)

8. November 2013
Update 11. November 2013

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Das OpenSSH-Projekt hat ein Advisory zu einem Memory Corruption-Problem veröffentlicht, das im Prinzip zu einer aus der Ferne ausnützbaren Sicherheitslücke führen kann.
Da OpenSSH häufig zur Fernadministration von Unix/Linux-Servern und auch diversen Netzwerk-Komponenten eingesetzt wird, empfiehlt CERT.at dringend, den angegebenen Workaround zu implementieren bzw. auf die entsprechend gepatchte Version upzugraden.

Noch ist nicht bekannt, dass Exploits die dieses Problem ausnützen können, existieren bzw. in Verwendung sind - da der Quellcode von OpenSSH offen ist, ist jedoch davon auszugehen, dass dies sehr bald der Fall sein wird.

Update (2013-11-11):
Wie im Original-Advisory angegeben: dieses Problem tritt nur nach erfolgreicher Authentisierung (Post-Authentication) auf, ein Angreifer benötigt daher gültige Credentials (Username/Passwort, Key etc.).
Dies ist also vor allem für Zugänge mit ansonsten eingeschränkter Funktionalität (zB SFTP-Accounts) interessant.

Auswirkungen

Da ein Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Systeme, auf die folgende Bedingungen zutreffen:
  • OpenSSH 6.2 oder 6.3 installiert
  • AES-GCM-Unterstützung in der verwendeten OpenSSL-Version
  • ssh-Daemon aktiv und von aussen erreichbar
Einer kurzen Recherche nach betrifft dies unter anderem Standard-Installation aktueller Versionen von:
  • Arch Linux (OpenSSH_6.3p1, AES-GCM)
  • Fedora 19 (OpenSSH_6.2p2, AES-GCM))
  • Ubuntu 13.10 (OpenSSH_6.2p2, AES-GCM)
Einen Hinweis, ob das eigene System die verwundbare Konfiguration unterstützt, kann man durch folgendes Kommando erhalten:
ssh -c aes256-gcm@openssh.com localhost
Wenn dies mit Unknown cipher type 'aes256-gcm@openssh.com' abbricht, dann unterstützt das lokale System die verwundbare Kombination nicht und sollte daher auch nicht betroffen sein.

Abhilfe

  • Das OpenSSH-Projekt gibt im Advisory folgenden Workaround an:

    Abschalten von AES-GCM in der Server-Konfiguration

    Dies kann durch Setzen der folgenden Zeile in der Datei sshd_config erfolgen:
    Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc Dadurch werden nur noch die angegebenen Ciphers unterstützt.
  • Upgrade auf OpenSSH 6.4

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Advisory von OpenSSH (englisch)
http://openssh.org/txt/gcmrekey.adv
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Flash Player/Libraries - Patches nun auch für Microsoft Browser verfügbar
22. Februar 2017 | Beschreibung Adobe ...
Update: Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - Updates nun verfügbar
3. Februar 2017 | ...
mehr ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
Propaganda auf Twitter
15. März 2017 | Der echte ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/11/11 - 13:57:06
Haftungsausschluss