Open Source im professionellen Einsatz

CoreOS-Macher erläutern SSH-Lücke

23.05.2016

Das hinter dem leichtgewichtigen Linux CoreOS stehende Projekt hat die Hintergründe der kürzlich bekannt gewordenen SSH-Lücke veröffentlicht.

159

Wie Matthew Garrett in in einem ausführlichen Blogbeitrag zum SSH-Problem schreibt, gab es eine Meldung über ein kompromittiertes System, über das Spam verschickt wurde. Der Angreifer hatte sich in der Rolle des Oerators anmelden können. Dies so Garrett sollte natürlich nicht möglich sein, zumal mit jedem beliebigen Passwort. Es gelang dem Projekt die Lücke, die nur die CoreOS 104x.0.0-Versionen betraf, auf einen Commit zum Pluggable Authentication Module (PAM) einzugrenzen.

Das Problem besteht laut unter anderem Garrett darin, dass es bei den Linuxen von Gentoo und Red Hat verschiedene Konfigurationsparameter für das PAM gibt, was bei CoreOS nicht berücksichtigt wurde. Es hänge nun davon ab, wie die Authentifizierung eingerichtet ist. Je nachdem, wie Passwörter hinterlegt oder eingegeben werden, komme ein Modul zur Verifizierung zum Einsatz. Im Fall von CoreOS sei es möglich gewesen, die Authentifizierung zu umgehen, wenn die Module pam_unix und pam_sss nicht zum Zug kommen.

Ähnliche Artikel

  • SSH-Lücke in CoreOS Linux Alpha

    Das schlanke für Container prädestinierte CoreOS Linux hat ein gravierendes Sicherheitsproblem in der SSH-Konfiguration seiner Alpha-Versionen.

  • CoreOS stellt Torus-Storage-Projekt ein

    Das erst im vergangenen Jahr von CoreOS vorgestellte verteilte Speichersystem Torus wird nicht mehr weiter entwickelt. Das Projekt habe nicht die erwünschte Community-Beteiligung erreicht, heißt es seitens der Macher.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.