2018-1696: OpenSSH: Eine Schwachstelle ermöglicht das Ausspähen von Benutzernamen
Historie:
- Version 1 (2018-08-22 15:23)
- Neues Advisory
- Version 2 (2018-08-27 11:43)
- Der Hersteller veröffentlicht OpenSSH 7.8 zur Behebung der Schwachstelle. Für Fedora 27 und 28 stehen mit den Paketen 'openssh-7.6p1-6.fc27' und 'openssh-7.8p1-1.fc28' Sicherheitsupdates im Status 'testing' bereit.
- Version 3 (2018-10-25 18:24)
- IBM stellt Sicherheitsupdates für AIX 5.3, 6.1, 7.1 und 7.2 sowie VIOS 2.2.x in Form von Interim Fixes zur Verfügung und informiert im IBM Security Bulletin 10733751 (Siehe Referenzen) ausführlich, wie die Fixes installiert werden können.
- Version 4 (2018-11-27 11:28)
- Für SUSE OpenStack Cloud 7, SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 und 12 SP4, SUSE Linux Enterprise Server for SAP 12 SP2, SUSE Linux Enterprise Desktop 12 SP3 und SP4, SUSE Enterprise Storage 4, SUSE CaaS Platform ALL, SUSE CaaS Platform 3.0 sowie für OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'openssh' bereit.
- Version 5 (2018-11-30 10:35)
- Für openSUSE Leap 42.3 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in OpenSSH bereit.
- Version 6 (2019-04-09 16:17)
- Für Red Hat Enterprise Linux 6 stehen Sicherheitsupdates für 'openssh' bereit, um die Schwachstelle zu beheben. Die Updates stehen damit unter anderem für die Red Hat Enterprise Linux Produktvarianten Server, Workstation, Desktop und for Scientific Computing 6 zur Verfügung.
- Version 7 (2019-04-10 12:11)
- Oracle stellt für Oracle Linux 6 (i386, x86_64) Sicherheitsupdates für OpenSSH zur Behebung der Schwachstelle bereit.
- Version 8 (2019-04-11 18:59)
- Für Oracle VM 3.3 und Oracle VM 3.4 stehen Sicherheitsupdates für OpenSSH zur Behebung der Schwachstelle bereit.
- Version 9 (2019-08-06 20:28)
- Red Hat stellt für die Red Hat Enterprise Linux Produktvarianten Server, Workstation, Desktop und for Scientific Computing jeweils in Version 7 Sicherheitsupdates bereit, um die Schwachstelle zu beheben.
- Version 10 (2020-04-30 21:03)
- Die Schwachstelle betrifft Citrix XenServer 7.1 LTSR Cumulative Update 2, sofern der SSH-Zugriff auf die Control-Domain zugelassen ist. Es steht ein Hotfix zur Behebung der Schwachstelle zur Verfügung.
- Version 11 (2021-10-21 11:43)
- Für openSUSE Backports SLE 15 SP3 steht ein Sicherheitsupdate für 'ssh-audit' bereit, um die Schwachstelle zu beheben. Die Software wird damit auf Version 2.5.0 aktualisiert.
Betroffene Software
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
IBM
Linux
Oracle
UNIX
Beschreibung:
Ein entfernter Angreifer kann durch den wiederholten Versand beschädigter Authentisierungsanfragen gültige Benutzernamen ausspähen.
Derzeit existiert noch kein offizielles Release zur Behebung der Schwachstelle. Für Debian 9.5 Stretch (stable) und 8.11 Jessie (LTS) stehen Backport-Sicherheitsupdates für das Paket 'openssh' bereit.
Schwachstellen:
CVE-2018-15473
Schwachstelle in OpenSSH ermöglicht Ausspähen von Benutzernamen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.