DFN-CERT-2015-1159 OpenSSH: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2015-1159 OpenSSH: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenBSD OpenSSH < 6.9p1 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Eine Schwachstelle in OpenSSH erlaubt einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Fedora stellt Sicherheitsupdates für Fedora 21 und 22 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2015-11981 https://admin.fedoraproject.org/updates/FEDORA-2015-11981/openssh-6.9p1-3.fc22

Patch:

Fedora Security Update FEDORA-2015-12012

https://admin.fedoraproject.org/updates/FEDORA-2015-12012/openssh-6.6.1p1-14.fc21

CVE-2015-5600: Schwachstelle in OpenSSH erlaubt das Umgehen von
Sicherheitsmechanismen

Eine Schwachstelle in OpenSSH basiert auf einer fehlerhaften Anwendung der
Beschränkung der Anzahl von Anmeldeversuchen, die in der Konfigurationsdatei
sshd_config mit der Option “MaxAuthTries” standardmäßig auf 6 Versuche
eingestellt ist. Die Benutzung des Clients mit der Option
“-oKbdInteractiveDevices=” und einer beliebigen Anzahl von Eingabemethoden
wird vom Server bereitwillig akzeptiert und für jede Methode die
Eingabeaufforderung für das Passwort gestartet. In Folge der Schwachstelle
ist es möglich, beliebig viele Passwortabfragen zu generieren bis die
Zeitspanne der “LoginGraceTime”, die üblicherweise 120 Sekunden beträgt,
erreicht ist. Dadurch wird die Effizienz eines Brute-Force-Angriffs, um an
das Passwort eines autorisierten Benutzers zu gelangen, erheblich
verbessert. Vorkonfiguriert ist “KbdInteractiveAuthentication” Server-seitig
in der Regel auf die selbe Einstellung wie
“ChallengeResponseAuthentication”, d.h. sie ist auf “no” gestellt. Zu
beachten ist allerdings, dass das Fehlen oder Auskommentieren der Option
“ChallengeResponseAuthentication” nicht das Deaktivieren der
“ChallengeResponseAuthentication” bedeutet, denn der Standardwert dieser
Option ist “yes”. Die Schwachstelle betrifft also nur Systeme, in denen die
Standardkonfiguration von OpenSSH verändert wurde. Weiterhin schränkt die
Benutzung von PAM als Eingabemethode die Effizienz dieses Angriffs wieder
ein, da PAM selber Verzögerungen zwischen zwei Passworteingaben erzwingen
kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1159/

Schwachstelle CVE-2015-5600 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5600

Fedora Security Update FEDORA-2015-11981:
https://admin.fedoraproject.org/updates/FEDORA-2015-11981/openssh-6.9p1-3.fc22

Fedora Security Update FEDORA-2015-12012:
https://admin.fedoraproject.org/updates/FEDORA-2015-12012/openssh-6.6.1p1-14.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben