Zwei Sicherheitsprobleme in OpenSSH 9.2 gelöst
Der OpenSSH-Client ist in einer aktualisierten Version erschienen. Informationen über die geschlossenen Sicherheitslücken sind noch rar.
(Bild: AFANASEV IVAN/Shutterstock.com)
- Dennis Schirrmacher
Wer verschlüsselte Verbindungen mit OpenSSH aufbaut, sollte das Programmpaket auf den aktuellen Stand bringen. In der aktuellen Version OpenSSH 9.2 haben die Entwickler zwei Schwachstellen geschlossen.
In den Release Notes zur aktuellen Ausgabe beschreiben sie zudem ein Speicher-Sicherheitsproblem, dessen Ausnutzung sie aber bezweifeln – repariert haben sie es trotzdem. In der Theorie könnte es im Zuge der Pre-Authentication zu einem Speicherfehler (Double-free) kommen. Davon ist OpenSSH ab Version 9.1 betroffen.
Für die beiden anderen Schwachstellen gibt es bislang keine CVE-Nummern, und auch eine Einstufung des Bedrohungsgrads fehlt noch. Die Beschreibungen lesen sich kryptisch und es klingt so, als könnten Angreifer Sicherheitsmechanismen umgehen.
(des)