OpenSSH 9.3 schließt Sicherheitslücken

Mit Version 9.3 der freien SSH-Suite OpenSSH beheben die Entwickler unter anderem Sicherheitsprobleme.

Die neue Version enthalte Korrekturen für ein Sicherheitsproblem und ein Speicher Sicherheitsproblem, teilen die Entwickler mit. Das Speichersicherheitsproblem sei wohl nicht ausnutzbar, heißt es in der Ankündigung, man melde aber die meisten netzwerkerreichbaren Speicherfehler als Sicherheitslücken.

Das Problem stecke im portablen OpenSSH, das eine Implementierung der “getrrsetbyname”-Funktion zur Verwendung durch die VerifyHostKeyDNS-Funktion biete, falls die Standardbibliothek sie nicht zur Verfügung. Eine speziell gestaltete DNS-Antwort könnte diese Funktion dazu veranlassen ein Out-of-Bounds-Read von benachbarten Stack-Daten durchzuführen. Mehr als ein Denial-of- Service beim SSH-Client sei damit wohl aber nicht zu erreichen.

Zu den neuen Funktionen zähle, dass “ssh-keygen” und “ssh-keyscan” akzeptieren nun die Option “-Ohashalg=sha1|sha256” bei der Ausgabe von SSHFP-Fingerprints, um so die Auswahl des Algorithmus zu ermöglichen.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben