Kurzinfo CB-K16/0397

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: OpenSSH: Eine Schwachstelle ermöglicht Ausspähen von Informationen
Datum: 10.03.2016
Software: OpenBSD OpenSSH < 7.2 P2
Plattform: OpenBSD 5.7, OpenBSD 5.8, OpenBSD 5.9, Red Hat Fedora 22, Red Hat Fedora 23
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: niedrig
Bezug: OpenBSD Security Advisory OpenBSD 5.7
Beschreibung

Das Programmpaket OpenSSH implementiert das Secure Shell / SSH-Protokoll inklusive des SSH File Transfer Protokolls, das Clients, Dienstprogramme und einen Server umfasst.

Ein entfernter, nicht authentifizierter Angreifer kann durch speziell präparierte Berechtigungsnachweise, die er zum Aufbau einer Verbindung zu einer X11-Oberfläche als Parameter übergibt, beliebigen Programmcode an 'xauth' übergeben. Dadurch kann er Lese- und Schreibzugriff auf alle Dateien des angemeldeten Benutzers erhalten, sich mit lokalen Ports verbinden und weitere Angriffe auf 'xauth' ausführen. Der Hersteller informiert über die Schwachstelle für OpenSSH mit aktivierter 'X11Forwarding'-Option und behebt diese mit der Programmversion OpenSSH 7.2p2. Für OpenBSD 5.7, 5.8 und 5.9 werden entsprechende Sicherheitsupdates zur Verfügung gestellt. Für Fedora 22 und 23 steht die aktuelle Version als (Backport-)Sicherheitsupdate in Form der Pakete openssh-6.9p1-11.fc22 bzw. openssh-7.2p2-1.fc23 im Status 'pending' bereit.

  1. OpenBSD Security Advisory OpenBSD 5.7

  2. OpenBSD Security Advisory OpenBSD 5.8

  3. Fedora Security Update FEDORA-2016-bb59db3c86 (Fedora 23)

  4. Fedora Security Update FEDORA-2016-d339d610c1 (Fedora 22)

  5. OpenBSD Security Advisory OpenBSD 5.9

  6. OpenSSH Security Release 7.2p2

  7. OpenSSH Security Advisory: x11fwd.adv

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.