schokokeks.org

Vor kurzem wurde eine neue Sicherheitslücke in SSH namens Terrapin veröffentlicht.

Das Risiko ist vergleichsweise gering, allerdings handelt es sich um eine Schwäche im SSH-Protokoll selbst. Frühe Nachrichten im SSH-Handshake wurden bislang nicht authentifiziert. Daher wurde eine Erweiterung für das SSH-Protokoll entwickelt, die diese Authentifizierung künftig sicherstellt (strict key exchange).

Wir möchten hier kurz über ein für uns überraschendes Sicherheitsproblem berichten, das wir auf unseren Systemen gefunden haben.

Wir hatten vor langer Zeit häufiger das Problem, dass in Nutzerverzeichnissen Dateien lagen, die einem anderen Nutzer gehören. Der Hauptgrund hierfür war, dass wir damals PHP-Code mit den Rechten des Apache-Nutzers ausgeführt haben. Das machen wir schon lange nicht mehr so, in unserem aktuellen Setup führen wir PHP-Code mittels FPM mit Nutzerrechten aus.

Wir wissen, dass viele unserer Kunden PuTTY nutzen, um auf ihren Account zuzugreifen oder Daten zu übertragen. In PuTTY wurden gerade eine Reihe von kritishcen Sicherheitslücken gefunden, die in der Version 0.71 behoben sind.

Zudem gibt es eine Reihe von Programmen zum Dateitransfer - etwa FileZilla oder WinSCP - die ebenfalls den Code von PuTTY verwenden, um eine Dateiübertragung mit SFTP zu ermöglichen. Für FileZilla gibt es inzwischen ein Update, für WinSCP noch nicht.

Zur Zeit gibt es zahlreiche Medienberichte über eine Sicherheitslücke im Linux-Kernel, mit der Nutzer sich Root-Rechte verschaffen können.

Letzte Woche veröffentlichte der Sicherheitsforscher Mark Seaborn Informationen über ein mögliches Problem mit modernen DRAM-Chips. Durch gezielte permanente Speicherzugriffe kann man Fehler im danebenliegenden Speicher erzeugen. Seaborn gelang es, diese Rowhammer genannte Lücke für verschiedene Angriffe auszunutzen. So gelang es Seaborn mittels Rowhammer, unter einem Linux-System von einem Nutzeraccount aus Root-Zugriff zu erhalten.

Wie gestern Abend bekannt wurde gab es in OpenSSL eine gravierende Sicherheitslücke, die von ihren Entdeckern Heartbleed genannt wird. Die Sicherheitslücke erlaubt das Auslesen des privaten Keys eines Servers, die Auswirkungen sind somit gravierend und betreffen einen Großteil der Infrastruktur im Internet. Betroffen sind alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f.