Grafik: OpenSSH

OpenSSH: Neue Version beseitigt 19 Jahre alte Lücke

23. August 2018, 17:38

War bereits in der allerersten Version der Software enthalten – Angreifer konnten Nutzernamen raten

Für Systemadminstratoren ist es eine unerlässliches Tool: OpenSSH erlaubt die Fernwartung von Rechnern, und das schon seit geraumer Zeit. Das bedeutet aber natürlich auch, dass zum Teil hier bereits sehr alter Code genutzt wird, wie alt demonstriert nun ein aktueller Vorfall.

Spurensuche

Die Forscher von Qualys haben eine 19 Jahre alte Lücke in OpenSSH gefunden. Über diese können Angreifer herausfinden, ob es einen gewissen Nutzernamen auf einem Server gibt. Dieses Wissen könnte man dann als Ausgangspunkt für einen Brute-Force-Attacke nutzen, bei der zahllose Passwörter ausprobiert werden.

Das Alter der Lücke bedeutet, dass sie bereits in der allerersten Version von OpenSSH zu finden war, die im Jahr 1999 erschienen ist. Seitdem hat sich die Software weit verbreitet und gehört in vielerlei Bereichen zu den Standard-Tools – vom Server bis zum Embedded-Bereich.

Update

Da hier kein direkter Zugriff auf Server möglich ist, wird die Lücke nicht als kritisch betrachtet. Trotzdem sollten Administratoren bald eines der passenden Updates einspielen. Das Projekt hat mittlerweile die Versionen 1:6.7p1-1, 1:7.7p1-1 und 1:7.7p1-4 veröffentlicht. (apo, 23.8.2018)