Das hinter dem leichtgewichtigen Linux CoreOS stehende Projekt hat die Hintergründe der kürzlich bekannt gewordenen SSH-Lücke veröffentlicht.
Wie Matthew Garrett in in einem ausführlichen Blogbeitrag zum SSH-Problem schreibt, gab es eine Meldung über ein kompromittiertes System, über das Spam verschickt wurde. Der Angreifer hatte sich in der Rolle des Oerators anmelden können. Dies so Garrett sollte natürlich nicht möglich sein, zumal mit jedem beliebigen Passwort. Es gelang dem Projekt die Lücke, die nur die CoreOS 104x.0.0-Versionen betraf, auf einen Commit zum Pluggable Authentication Module (PAM) einzugrenzen.
Das Problem besteht laut unter anderem Garrett darin, dass es bei den Linuxen von Gentoo und Red Hat verschiedene Konfigurationsparameter für das PAM gibt, was bei CoreOS nicht berücksichtigt wurde. Es hänge nun davon ab, wie die Authentifizierung eingerichtet ist. Je nachdem, wie Passwörter hinterlegt oder eingegeben werden, komme ein Modul zur Verifizierung zum Einsatz. Im Fall von CoreOS sei es möglich gewesen, die Authentifizierung zu umgehen, wenn die Module pam_unix und pam_sss nicht zum Zug kommen.
