Gerüchte um OpenSSH-Sicherheitslücke

Seit einigen Tagen kursieren Gerüchte über eine mögliche Sicherheitslücke in OpenSSH in Red Hat Enterprise Linux (RHEL) und Derivaten wie CentOS. Für den Unternehmenseinsatz optimierte Linux-Distributionen halten üblicherweise an einer Software-Version fest und die Entwickler der Distribution portieren Fehlerkorrekturen und Sicherheitsaktualisierungen auf genau diese Version zurück; im Falle dieser angeblichen Sicherheitslücke müsste es sich um eine nicht korrigierte Schwachstelle in OpenSSH 4.3 handeln.

Das vermeintliche Protokoll des Angriffs zeigt einen SSH-Login auf ein aktuelles Red Hat Enterprise Linux 5.3-System über den standardmäßig von SSH verwendeten Port 22.

Auf Anfrage eines Mitarbeiters von Red Hat hat sich der OpenSSH-Entwickler Damien Miller auf der OpenSSH-Mailingliste dazu geäußert, jedoch liegen ihm keine geheimen Informationen vor, noch sieht er genügend Beweise für die Existenz einer solchen Sicherheitslücke, vielmehr geht er von einer simplen Brute-Force-Attacke aus. Auch das SANS-Institut sieht ebenfalls noch keinen Beweis für den angeblichen Zero-Day-Exploit, obwohl mittlerweile Hinweise über die Existenz der unbekannten Sicherheitslücke eingegangen sind. Ein weiterer kürzlich von SANS veröffentlichter Artikel lässt jedoch vermuten, dass es sich doch um eine simple Brute-Force-Attacke statt um eine Sicherheitslücke in OpenSSH handeln dürfte.

Als Mitwirkender beim Fedora Project habe ich mit Leuten des Fedora Sicherheitsteams gesprochen, die gleichzeitig im Red Hat Security Response Team arbeiten: Bislang wurden Red Hat keinerlei Einbrüche über eine OpenSSH-Sicherheitslücke auf Kunden-Systeme mit Red Hat Enterprise Linux gemeldet. Der Support von Red Hat steht auch im Kontakt mit den Kunden, um bei Bedarf proaktiv helfen und unterstützen zu können. Zudem konnte Red Hat bei den bislang von Kunden gemeldeten Verdachtsfällen keinen Hinweis für eine OpenSSH-Sicherheitslücke entdecken.

Zusätzlich hat sich ein Team bei Red Hat mit den Unterschieden zwischen OpenSSH 4.3 und der aktuellen Version 5.2 beschäftigt und konnte bei einer Quellcode-Analyse der beiden Versionen keine neuen bzw. korrigierten Sicherheitslücken finden.

Weiter verweist das Red Hat Security Response Team darauf, dass es vermutlich lediglich einen einzigen bekannten Angriff auf eine Webhosting-Firma gab und keine Angriffe auf größere bzw. interessantere Ziele, wie Banken oder Firmen, bei denen geheime Informationen erlangt und verwendet werden könnten. Wäre soetwas der Fall gewesen, hätte Red Hat darüber bereits Kenntnis erlangt und Administratoren würden diese Probleme auf Security-Mailinglisten wie Vendor-Sec oder bei diversen CERTs melden und beschreiben.

Scheinbar plant Red Hat in der nächsten Zeit eine offizielle Stellungnahme zu abzugeben, da trotz diverser investierter Ressourcen und Zeit keinerlei Anhaltspunkte für eine OpenSSH-Sicherheitslücke entdeckt werden konnten. Sollten widererwartend doch mehr Informationen und vor allem technische Details bekannt werden, wird Red Hat entsprechend reagieren. Laut Hinweisen die das SANS-Institut erhalten hat, sollen die Details zur Lücke auf der Ende Juli in Las Vegas stattfindenden Black-Hat-Sicherheitskonferenz öffentlich gemacht werden...

Edit am 1.6.2010: Toter Link zum Protokoll gelöscht.