[Warning] Sicherheitslücke in OpenSSH

Robert Waldner waldner at cert.at
Fri Nov 8 15:36:57 CET 2013 

8. November 2013

   CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

   Das OpenSSH-Projekt hat ein Advisory[1] zu einem Memory
   Corruption-Problem veröffentlicht, das im Prinzip zu einer aus der
   Ferne ausnützbaren Sicherheitslücke führen kann.
   Da OpenSSH häufig zur Fernadministration von Unix/Linux-Servern und
   auch diversen Netzwerk-Komponenten eingesetzt wird, empfiehlt CERT.at
   dringend, den angegebenen Workaround zu implementieren bzw. auf die
   entsprechend gepatchte Version upzugraden.

   Noch ist nicht bekannt, dass Exploits die dieses Problem ausnützen
   können, existieren bzw. in Verwendung sind - da der Quellcode von
   OpenSSH offen ist, ist jedoch davon auszugehen, dass dies sehr bald
   der Fall sein wird.

Auswirkungen

   Da ein Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell
   alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
   VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   Systeme, auf die folgende Bedingungen zutreffen:
     * OpenSSH 6.2 oder 6.3 installiert
     * AES-GCM-Unterstützung in der verwendeten OpenSSL-Version
     * ssh-Daemon aktiv und von aussen erreichbar

   Einer kurzen Recherche nach betrifft dies unter anderem
   Standard-Installation aktueller Versionen von:
     * Arch Linux (OpenSSH_6.3p1, AES-GCM)
     * Fedora 19 (OpenSSH_6.2p2, AES-GCM))
     * Ubuntu 13.10 (OpenSSH_6.2p2, AES-GCM)

   Einen Hinweis, ob das eigene System die verwundbare Konfiguration
   unterstützt, kann man durch folgendes Kommando erhalten:
            ssh -c aes256-gcm at openssh.com localhost
   Wenn dies mit "Unknown cipher type 'aes256-gcm at openssh.com'"
   abbricht, dann unterstützt das lokale System die verwundbare
   Kombination nicht und sollte daher auch nicht betroffen sein.

Abhilfe

     * Das OpenSSH-Projekt gibt im Advisory folgenden Workaround an:
       x Abschalten von AES-GCM in der Server-Konfiguration
         Dies kann durch Setzen der folgenden Zeile in der Datei
         sshd_config erfolgen:
         Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,
         3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
         Dadurch werden nur noch die angegebenen Ciphers unterstützt.
     * Upgrade auf OpenSSH 6.4

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

References

   1. http://www.openssh.org/txt/gcmrekey.adv

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20131108/6adf32d8/attachment.sig>

More information about the Warning mailing list