2016-0077: OpenSSH: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2016-01-14 19:31)

Neues Advisory

Version 2 (2016-01-15 11:26)

SUSE stellt für SUSE Linux Enterprise Desktop 11 SP3, 11 SP4, 12 und 12 SP1 sowie für SUSE Linux Enterprise Server for VMWare 11 SP3, Server 11 SECURITY, Server 11 SP3, 11 SP4, 12 und 12 SP1 Sicherheitsupdates bereit. openSUSE veröffentlicht für die Distributionen openSUSE 13.2 und openSUSE Leap 42.1 Sicherheitsupdates ebenso wie Red Hat für die Red Hat Enterprise Linux 7 Produkte Desktop, HPC Node, Server und Workstation. Für die Distribution Fedora 22 steht ein Sicherheitsupdate im Status 'pending' zur Verfügung. FreeBSD stellt die korrigierten Versionen 10.2-STABLE, 10.2-RELEASE-p10, 10.1-RELEASE-p27, 9.3-STABLE und 9.3-RELEASE-p3 bereit.

Version 3 (2016-01-18 11:02)

Für openSUSE 13.1 wird ein Sicherheitsupdate veröffentlicht.

Version 4 (2016-01-18 15:48)

Eine weitere Schwachstelle, die mit OpenSSH 7.1p2 behoben wurde, hat die CVE-ID CVE-2016-1907 zugewiesen bekommen und wurde mit in das Advisory aufgenommen. Die Sicherheitsupdates für Fedora 22 und 23 beinhalten die Behebung der Schwachstelle bereits, die anderen Hersteller werden vermutlich in Kürze mit Sicherheitsupdates folgen.

Version 5 (2016-01-20 11:56)

Für die Distributionen Fedora 22 und Fedora 23 sowie Fedora EPEL 6 und EPEL 7 stehen Sicherheitsupdates für gsi-openssh, eine Implementierung des SSH Protokolls mit GSI (Grid Security Infrastructure) Authentifikation, im Status 'pending' zur Verfügung. Die Pakete gsi-openssh-6.9p1-7.fc22, gsi-openssh-7.1p2-1.fc23, gsi-openssh-5.3p1-12.el6 und gsi-openssh-6.6.1p1-3.el7 wurden mit den letzten OpenSSH Paketen synchronisiert und beheben die Schwachstellen entsprechend.

Betroffene Software

Sicherheit

Betroffene Plattformen

HP
IBM
Apple
Linux
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in OpenSSH Version 5.4 bis Version 7.1 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen.

Die Auswirkungen der Schwachstellen sind noch nicht vollständig bekannt. Aufgrund der hohen Aufmerksamkeit, die diese Schwachstellen zur Zeit in der Öffentlichkeit finden, ist die Einstufung der Kritikalität auf "hoch" gesetzt.

Portable OpenSSH 7.1p2 wurde als Sicherheitsupdate veröffentlicht, um die Schwachstellen zu beheben. Für OpenBSD 5.7 und 5.8, Fedora 23 und Debian 7.9 (Wheezy) und 8.2 (Jessie) stehen Sicherheitsupdates zur Verfügung. Canonical stellt für die Distributionen Ubuntu 15.10, Ubuntu 15.04, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS ebenfalls Sicherheitsupdates bereit.

Schwachstellen:

CVE-2016-0777

Schwachstelle in OpenSSH ermöglicht das Ausspähen von Informationen

CVE-2016-0778

Schwachstelle in OpenSSH ermöglicht das Ausspähen von Informationen

CVE-2016-1907

Schwachstelle in OpenSSH ermöglicht das Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.