Sicherheitslücke in OpenSSH
Eine von der Firma Qualys gefundene Sicherheitslücke in OpenSSH sorgt gerade für einige Aufregung. In einer kaum bekannten und genutzten Roaming-Funktion von SSH ist ein kritischer Fehler, der unter Umständen einem bösartigen Server das Auslesen des Client-Keys erlaubt.
Wir haben kurz nach der Bekanntgabe der Lücke die Roaming-Funktion in der SSH-Konfiguration unserer Server deaktiviert und inzwischen das bereitgestellte Update installiert. Allerdings betrifft diese Lücke SSH-Clients - und damit in erster Linie nicht unsere Server, sondern vielmehr unsere Kunden, wenn diese SSH nutzen.
Alle Kunden, die OpenSSH nutzen, um sich auf unsere und andere Server einzuloggen, sollten daher schnellstmöglich entsprechende Updates installieren. Behoben ist der Fehler in Version 7.1p2, alle wichtigen Linux- und BSD-Distributionen haben bereits Updates für ihre Pakete bereitgestellt. Als Workaround kann man auch die Roaming-Funktion durch einfügen der Zeile "UseRoaming no" in der SSH-Konfigurationsdatei ssh_config (üblicherweise im Verzeichnis /etc/ssh) abschalten.
Weitere Infos zur Lücke gibt es bei Golem.de.
