Quelle: Depositphotos
Jahrealte Schwachstellen in OpenSSH entdeckt
Security-Forscher haben zwei Schwachstellen in OpenSSH gefunden, wobei eine davon über ein Jahrzehnt lang Systeme gefährdete.
20. Februar 2025
Sicherheitsforscher von Qualys Threat Research Unit (TRU) haben zwei Schwachstellen in OpenSSH identifiziert, wie sie in einem Blogbeitrag ausführen. Die erste, als CVE-2025-26465 gekennzeichnete Sicherheitslücke, ermöglicht einen aktiven Machine-in-the-Middle-Angriff auf den OpenSSH-Client, wenn die Option "VerifyHostKeyDNS" aktiviert ist. Bei dieser Art des Angriffs schaltet sich der Angreifer quasi in die Kommunikation zwischen Client und Server und greift so Daten ab. Die zweite Schwachstelle, klassifiziert als CVE-2025-26466, betrifft sowohl den OpenSSH-Client als auch den Server und ermöglicht einen Denial-of-Service-Angriff. Damit können Angreifer durch das ungebremste Versenden von Anfragen an den Server diesen zum Erliegen bringen.
Während die zweite Schwachstelle "nur" rund 1,5 Jahre alt ist und die OpenSSH-Versionen 9.5p1 bis 9.9p1 betrifft, ist erstere seit dem Dezember 2014 in dieser Form im Umlauf und gefährdet die Versionen 6.8p1 bis 9.9p1, wurde aber erst jetzt entdeckt. Die neue Version 9.9p2 behebt beide oben beschriebenen Lücken. Angaben zu erfolgten Angriffen auf Basis dieser Sicherheitslücken machen die Forscher nicht. (dok)
Während die zweite Schwachstelle "nur" rund 1,5 Jahre alt ist und die OpenSSH-Versionen 9.5p1 bis 9.9p1 betrifft, ist erstere seit dem Dezember 2014 in dieser Form im Umlauf und gefährdet die Versionen 6.8p1 bis 9.9p1, wurde aber erst jetzt entdeckt. Die neue Version 9.9p2 behebt beide oben beschriebenen Lücken. Angaben zu erfolgten Angriffen auf Basis dieser Sicherheitslücken machen die Forscher nicht. (dok)
Weitere Artikel zum Thema
Sicherheitslücken in vielen HP-Laserdruckern
17. Februar 2025 - Zahlreiche HP-Laserdrucker verschiedener Laser-Jet-Serien leiden an drei Remote-Code-Execution- und Elevation-of-Privilege-Schwachstellen, eine davon wird als kritisch eingestuft.Patchday: Microsoft schliesst 63 Sicherheitslücken
12. Februar 2025 - Der Patchday für Windows 10 und 11 bringt neben einigen kleinen Patches und neuen Funktionen vor allem viele Security-Fixes. Microsoft schliesst total 63 Lücken, zwei davon werden bereits aktiv ausgenutzt.Apple schliesst schwerwiegende Sicherheitslücke
30. Januar 2025 - Eine breite Palette von Apple-Geräten und -System sieht sich mit einem Sicherheitsrisiko konfrontiert, das Apple nun neutralisiert hat. Allerdings wurde die Sicherheitslücke bereits ausgenutzt.Artikel kommentieren
