Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenBSD OpenSSH <= 6.6 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmechanismen zu umgehen und somit unerlaubten Zugriff auf Systeme zu erlangen. Patch: Ubuntu Security Notice USN-2164-1 http://www.ubuntu.com/usn/usn-2164-1/

CVE-2014-2653: Schwachstelle in OpenSSH ermöglicht Umgehen von
Sicherheitsmechanismen

Die Funktion verify_host_key() in der Datei ‘sshconnect.c’ im OpenSSH-Client
ermöglicht einem entfernten Server durch das Übermitteln eines ungültigen
Server-Zertifikats die Überprüfung des SSHFP DNS Resource Record zu
überspringen. Ein entfernter Angreifer kann dadurch Sicherheitsüberprüfungen
umgehen und nicht autorisierten Zugriff auf Ressourcen erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0422/

Schwachstelle CVE-2014-2653 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2653

Ubuntu Security Notice USN-2164-1:
http://www.ubuntu.com/usn/usn-2164-1/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.