Bug in OpenSSH eröffnet Sicherheitslücke

14.01.2016

Vergessener Code im OpenSSH-Client eröffnet die Möglichkeit, geheime Schlüssel auszulesen. 

Unter dem Code CVE-2016-0777 firmiert eine neu entdeckte Sicherheitslücke in OpenSSH. Dabei handelt es sich um vergessenen Code im OpenSSH-Client, der ursprünglich dazu gedacht war, die Wiederaufnahme von SSH-Sessions von Roaming-Anwendern zu ermöglichen. Das entsprechende Gegenstück im SSH-Server wurde aber nie implementiert und der Code im Client offensichtlich vergessen. 

Unter bestimmten Umständen können dafür modifizierte SSH-Server oder Men in the Middle über den Zombie-Code den privaten Schlüssel von Anwendern auslesen. Deshalb raten die OpenSSH-Entwickler dazu, das Roaming-Feature in der SSH-Konfiguration auszuschalten, beispielsweise so:

# echo 'UseRoaming no' >> /etc/ssh/ssh_config

Alternativ lässt sich der Client auch mit "-oUseRoaming=no" starten. 

Betroffen sind alle OpenSSH-Versionen von 5.4 bis 7.1

SSH

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

OpenSSH 7.3 veröffentlicht

Eine neue Version des SSH-Pakets wurde veröffentlicht. 

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite