Schwachstelle in Open-SSH verrät geheime Schlüssel

Eine Schwachstelle verbirgt sich in einer noch unfertigen Funktion des OpenSSH Protokolls: Der Name der als „Triple-Seven“ bekannt gewordenen Schwachstelle kommt von ihrer CVE Nummer „2016-0777“ – CVE ist der Standard zur Benennung von Sicherheitslücken. Die Endnummer 0777 gab der Schwachstelle daher in den inoffiziellen Namen „Triple Seven“ – aber ganz so harmlos ist die Lücke gar nicht: Wurde ein Server gehackt, können die Angreifer über die Lücke die geheimen Schlüssel der Nutzer auslesen.

OpnSSH ist dabei die Open-Source Implementierung verschiedener sicherer Zugriffsprotokolle auf einen Server – inklusive Shell-Zugriff (SSH) und sichererem FTP (SFTP). Über SSH verbindet man sich üblicherweise von seinem lokalen Computer mit einem entfernten Rechner: Das kann ein mit Linux arbeitender Webserver sein, aber auch ein kleiner Raspberry Pi Computer, der im eigenen Netzwerk als Medienserver arbeitet. Nach dem SSH Login kann man den entfernten Rechner von dem eigenen PC fernsteuern, indem man die Linux- oder Unix-Befehle eingibt, als würde man direkt an dem entfernten Rechner sitzen.

Um die Schwachstelle auszunutzen, muss der Nutzer bereits einmal an dem Server angemeldet gewesen sein. Wird der Server anschließend angegriffen, kann man über die Open SSH Schwachstelle die privaten Zugangs-Schlüssel der Leute mitlesen, die sich anschließend an dem Rechner anmelden. Man kann diese Daten unter anderem dafür nutzen, um selber den Rechner mit den Rechten des Nutzers zu steuern, oder zu prüfen, ob die gleichen Zugangsdaten vielleicht noch für andere Webdienste genutzt wurden.

Betroffen ist OpenSSH in den Versionen 5.4 bis einschließlich 7.1. Zum Beheben der Sicherheitslücke hilft ein Update auf die neue Version 7.1p2 – außerdem wurden Updates für die OpenSSh Versionen 5.7 und 5.8 veröffentlicht, die die Schwachstelle ebenfalls beheben. Als Notlösung, wenn das Einspielen der Updates nicht direkt möglich ist, hilft es, die „Roaming-Funktion“ in OpenSSH abzuschalten: Laut dem OpenBSD Journal reicht es, wenn man die SSH-Konfigurationsdatei unter „/etc/ssh/ssh_config“ (oder die eigene Nutzer-Config) bearbeitet und die Zeile „UseRoaming no“ hinzufügt – zum Beispiel durch diese Eingabe:

echo 'UseRoaming no' >> /etc/ssh/ssh_config