[Warning] Sicherheitslücke in OpenSSH
Robert Waldner
waldner at cert.at
Fri Nov 8 15:36:57 CET 2013
8. November 2013
CERT.at ersucht um Beachtung der folgenden Meldung.
Beschreibung
Das OpenSSH-Projekt hat ein Advisory[1] zu einem Memory
Corruption-Problem veröffentlicht, das im Prinzip zu einer aus der
Ferne ausnützbaren Sicherheitslücke führen kann.
Da OpenSSH häufig zur Fernadministration von Unix/Linux-Servern und
auch diversen Netzwerk-Komponenten eingesetzt wird, empfiehlt CERT.at
dringend, den angegebenen Workaround zu implementieren bzw. auf die
entsprechend gepatchte Version upzugraden.
Noch ist nicht bekannt, dass Exploits die dieses Problem ausnützen
können, existieren bzw. in Verwendung sind - da der Quellcode von
OpenSSH offen ist, ist jedoch davon auszugehen, dass dies sehr bald
der Fall sein wird.
Auswirkungen
Da ein Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell
alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
Systeme, auf die folgende Bedingungen zutreffen:
* OpenSSH 6.2 oder 6.3 installiert
* AES-GCM-Unterstützung in der verwendeten OpenSSL-Version
* ssh-Daemon aktiv und von aussen erreichbar
Einer kurzen Recherche nach betrifft dies unter anderem
Standard-Installation aktueller Versionen von:
* Arch Linux (OpenSSH_6.3p1, AES-GCM)
* Fedora 19 (OpenSSH_6.2p2, AES-GCM))
* Ubuntu 13.10 (OpenSSH_6.2p2, AES-GCM)
Einen Hinweis, ob das eigene System die verwundbare Konfiguration
unterstützt, kann man durch folgendes Kommando erhalten:
ssh -c aes256-gcm at openssh.com localhost
Wenn dies mit "Unknown cipher type 'aes256-gcm at openssh.com'"
abbricht, dann unterstützt das lokale System die verwundbare
Kombination nicht und sollte daher auch nicht betroffen sein.
Abhilfe
* Das OpenSSH-Projekt gibt im Advisory folgenden Workaround an:
x Abschalten von AES-GCM in der Server-Konfiguration
Dies kann durch Setzen der folgenden Zeile in der Datei
sshd_config erfolgen:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,
3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
Dadurch werden nur noch die angegebenen Ciphers unterstützt.
* Upgrade auf OpenSSH 6.4
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
References
1. http://www.openssh.org/txt/gcmrekey.adv
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20131108/6adf32d8/attachment.sig>
More information about the Warning
mailing list