image

Ernstig beveiligingslek in OpenSSH gepatcht

donderdag 14 januari 2016, 16:28 door Redactie, 16 reacties

Er is een ernstig beveiligingslek in OpenSSH gepatcht waardoor een aanvaller in het ergste geval de privésleutels van gebruikers kon stelen. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren.

In de OpenSSH-clientcode vanaf versie 5.4 tot en met 7.1 was experimentele ondersteuning voor het herstellen van ssh-verbindingen toegevoegd, genaamd 'roaming'. De bijbehorende servercode ontbrak echter. In de client stond de optie standaard ingeschakeld. Als de client verbinding met een kwaadaardige of gehackte server maakte, kon vervolgens informatie uit het geheugen van de client naar de server worden gestuurd, waaronder de privésleutels.

Om het probleem te verhelpen is nu OpenSSH 7.1p2 uitgebracht. Daarnaast is er ook een workaround die kan worden ingesteld, zoals Theo de Raadt van OpenBSD op de OpenBSD-mailinglist laat weten. De kwetsbaarheid, die vorig jaar januari aan de code werd toegevoegd, werd ontdekt door beveiligingsbedrijf Qualys en staat bekend onder de code CVE-2016-0777.

Reacties (16)
14-01-2016, 18:12 door Anoniem
Nog beter de code reviewen jongens... Nieuwe functies zijn waardeloos als ze lek zijn.
14-01-2016, 19:51 door Anoniem
workaround voor overal waar je de ssh client gebruikt:
# echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config

zie voor meer info over deze bug: http://undeadly.org/cgi?action=article&sid=20160114142733
14-01-2016, 20:19 door karma4
heel veilig, dat open gedoe. Nooit ernstige beveilgingslekken...
14-01-2016, 20:48 door Anoniem
Door karma4: heel veilig, dat open gedoe. Nooit ernstige beveilgingslekken...

Alsof closed software zoveel veiliger is. De grote jongens reageren echt niet veel sneller.
14-01-2016, 20:59 door Anoniem
Door karma4: heel veilig, dat open gedoe. Nooit ernstige beveilgingslekken...
Heeeeeeeeel flauw, karma4. En dat ben ik niet van u gewend.

On topic: Het is natuurlijk niet zo dat Open Source intrinsiek veiliger is dan closed source. We hebben bij het Heartbleed lek in OpenSSL wel gezien dat iedereen, inclusief de grote bedrijven, fijn de software op grote schaal wil gebruiken, maar dat er (bijna) niemand, wederom inclusief de grote bedrijven, de moeite neemt om echt naar de source code te kijken. Daar zit het echte probleem, niet in het feit dat source code open is. Maar dat weet u eigenlijk ook wel natuurlijk. ;-)

Groet,

Jeroen
14-01-2016, 21:04 door [Account Verwijderd]
[Verwijderd]
14-01-2016, 21:06 door Anoniem
Door karma4: heel veilig, dat open gedoe. Nooit ernstige beveilgingslekken...
Microsoft patcht wekelijks meerdere lekken in webservices verantwoordelijk voor e-mail, remote desktop, Active Directory, dus dat valt wel mee. Het is allemaal relatief.
14-01-2016, 22:25 door Anoniem
Since version 5.4 (released on March 8, 2010), the OpenSSH client supports an undocumented feature called roaming: ...
https://www.qualys.com/2016/01/14/cve-2016-0777-cve-2016-0778/openssh-cve-2016-0777-cve-2016-0778.txt

Niet "vorig jaar januari" zoals security.nl beweert.
15-01-2016, 01:07 door Anoniem
Ernstig beveiligingslek in OpenSSH gepatcht

LOL, tijd voor een nieuwe fork iemand? :P
15-01-2016, 08:25 door Anoniem
Karma4 (Microsoft PR) weet als geen ander dat het OS van zijn opdrachtgever het meest brakke brok ellende is dat ooit door marketeers bijelkaar is geprogrammeerd.
.
15-01-2016, 08:30 door karma4
Door Anoniem:
Door karma4: heel veilig, dat open gedoe. Nooit ernstige beveilgingslekken...
Heeeeeeeeel flauw, karma4. En dat ben ik niet van u gewend.

On topic: Het is natuurlijk niet zo dat Open Source intrinsiek veiliger is dan closed source. We hebben bij het Heartbleed lek in OpenSSL wel gezien dat iedereen, inclusief de grote bedrijven, fijn de software op grote schaal wil gebruiken, maar dat er (bijna) niemand, wederom inclusief de grote bedrijven, de moeite neemt om echt naar de source code te kijken. Daar zit het echte probleem, niet in het feit dat source code open is. Maar dat weet u eigenlijk ook wel natuurlijk. ;-)

Jeroen
Sorry dat ik wat flauw deed. Je hebt helemaal gelijk.
Dat open source door grote bedrijven als een winstmaker gezien wordt omdat de mensen erachter niet hoeven te betalen is een heel vreemd gedoe. (het is gratis..)

Het was zo verleidelijk. Ik wordt soms wat moedeloos van het constant afgeven bij issues op labels/merken.
Het gaat er om dat de boel beter veiliger, met overwogen privacy, wordt. Dat is op een ander wijze er tegenaan kijken dan een OS of tool of wat dan ook als binding nemen. Ik mis de algemenere achterliggende concepten te vaak.
15-01-2016, 11:05 door ph-cofi
[Verwijderd]
15-01-2016, 17:12 door Anoniem
Door karma4: heel veilig, dat open gedoe. Nooit ernstige beveilgingslekken...

Nee, nooit ernstige beveiligingslekken, wel NSA/CIA backdoors.
16-01-2016, 11:41 door [Account Verwijderd]
[Verwijderd]
16-01-2016, 12:00 door karma4
Door Muria:
N.B.: ik ben geen Linux fanboy. Ik gebruik gewoon wat (goed) werkt. (En dat is in het verleden een tijdlang Windows geweest, voordat ik iets ontdekte wat (veel) beter werkte en nog robuust en gratis was ook: Debian Linux).
De N.B: is in tegenspraak met de rest van je post.

Bij bedrijven proberen ook iets te met "gebruiken wat goed werkt" kom je dan in de data-governance hoek (security) dan is de Unix/Linux opzet bijna rampzalig. Je noemt dat onderwerp "data governance" niet eens voor het echte werk, jammer.
Professionele bedrijven hebben niet met een persoonlijk desktopje te maken maar met vele machines en interacties.
16-01-2016, 12:52 door [Account Verwijderd] - Bijgewerkt: 16-01-2016, 14:19
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.