Update für Debian OpenSSH

Im OpenSSH-Paket von Debian wurde eine Schwachstelle entdeckt, die es Angreifern unter Umständen ermöglicht, den Anmeldedienst übers Netzwerk lahmzulegen. Ursache für den Fehler ist die Verwendung von nicht Thread-sicheren Funktionen für den Patch der GSSAPI-Sicherheitslücke in 2006. Ein spezielles Timing von bestimmten SSH-Paketen kann dadurch zur Entstehung von Zombie-Prozessen führen, die nach und nach alle Ressourcen blockieren. Die Entwickler weisen ausdrücklich darauf hin, dass dies auch im regulären Betrieb passieren könne und nicht notwendigerweise ein Zeichen für einen Angriff sei.

Das Debian-Projekt hat fehlerbereinigte Pakete herausgegeben. Die neuen Versionen lauten 4.3p2-9etch3 für den aktuellen Stable-Release Debian 4.0 (Etch) und 4.6p1-1 für die Testversionen Debian Lenny und Sid. Für Webserver und andere Systeme, die ausschließlich per SSH erreichbar sind, stellt die Lücke ein besonderes Risiko dar. Durch gezielte Angriffe ließen sich deren Nutzer und Admins komplett vom Zugang aussperren. Eine umgehende Aktualisierung ist daher auf solchen Systemen empfehlenswert.

Siehe dazu auch:

• Debian Security Advisory DSA-1638-1 mit Informationen zum OpenSSH-Patch

(cr/c't)