DFN-CERT

Advisory-Archiv

2016-1149: OpenSSH: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2016-07-19 11:59)
Neues Advisory
Version 2 (2016-07-20 14:27)
Für Fedora 23 und 24 stehen Sicherheitsupdates im Status 'testing' bereit, die 'gsi-openssh' mit den 'openssh'-Paketen synchronisieren und die Schwachstelle beheben. Der Identifier FEDORA-2016-16e8d38f57 für das Fedora 23 Update wurde schon einmal für ein 'gsi-openssh'-Update zur Behebung der Schwachstelle CVE-2016-3115 verwendet. Das ursprünglich damit referenzierte Paket wurde allerdings in den Status 'unpushed' gesetzt. Die weitergehende Nutzung des Identifiers legt die Vermutung nahe, dass das neue Paket die Schwachstellen CVE-2016-3115 (ermöglicht ebenfalls das Ausspähen von Informationen) und CVE-2016-6210 adressiert.
Version 3 (2016-07-25 12:19)
Für die stabile Distribution Debian Jessie steht ein Backport-Sicherheitsupdate zur Verfügung.
Version 4 (2016-07-28 10:49)
Für Fedora 23 steht mit dem Paket 'openssh-7.2p2-5.fc23' ein aktualisiertes Sicherheitsupdate für OpenSSH im Status 'testing' bereit. Das bisherige Sicherheitsupdate mit dem Paket 'openssh-7.2p2-4.fc23' befindet sich damit im Status 'obsolete'.
Version 5 (2016-12-27 13:49)
F5 Networks informiert über die Schwachstelle und von dieser betroffene Produkte. Unter anderem ist das BIG-IP Protocol Security Module in den Versionen 11.4.0 - 11.4.1 verwundbar. Es stehen noch keine Sicherheitsupdates zur Verfügung.
Version 6 (2017-09-01 10:52)
Red Hat stellt für die Red Hat Enterprise Linux 6 Produkte Server, Workstation, Desktop und Linux for Scientific Computing Sicherheitsupdates für OpenSSH zur Behebung der Schwachstelle zu Verfügung, ebenso wie Oracle für Oracle Linux 6 (i386, x86_64).
Version 7 (2017-09-01 13:03)
Für Oracle VM 3.3 und 3.4 stehen Sicherheitsupdates zur Behebung der Schwachstelle in OpenSSH zur Verfügung.

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann durch das Senden langer Passwörter die Benutzer eines Systems abzählen und Benutzernamen erraten.

Für Fedora 23 und 24 stehen Sicherheitsupdates für OpenSSH im Status 'testing' bereit.

Schwachstellen:

CVE-2016-6210

Schwachstelle in OpenSSH ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.