ISN 2024-17: Sicherheitslücke in OpenSSH
Erstveröffentlichung am 03. Juli 2024
CVSS 3.1: 9.0 (kritisch)
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Zusammenfassung
In OpenSSH, einer Bibliothek für den sicheren Zugriff auf entfernte Systeme wie IGEL OS, wurde eine Sicherheitslücke entdeckt. Diese betrifft die folgenden IGEL-Produkte:
IGEL OS 12
IGEL OS 11
Details
In OpenSSH wurde eine Race-Condition im Signal-Handler entdeckt. Diese kann zu einer nicht authentifizierten Remote Code Ausführung führen. Die Schwachstelle wird unter CVE-2024-6387 geführt.
Mitigations
Die OpenSSH Server Funktionalität kann deaktiviert werden, indem die Profileinstellung System > Remote Access > SSH Access > Enable deaktiviert wird. Bitte beachten Sie, dass dadurch der SSH Zugriff auf die konfigurierten Geräte vollständig abgeschaltet wird. Alternativ kann SSH so konfiguriert werden, dass LoginGraceTime = 0 gesetzt ist, indem der Registry-Wert network.ssh_server.login_grace_time auf 0 gesetzt wird. Beachten Sie jedoch, dass dies einen trivialen Denial-of-Service (DoS) für SSH Verbindungen ermöglicht, da nur ein einziger Authentifizierungsversuch gleichzeitig akzeptiert wird.
Update - Anweisungen
OS 12: Aktualisieren Sie auf Basissystem Version 12.4.2 (erwartet am 18. Juli).
OS 11: Aktualisieren Sie auf IGEL OS 11.10.150 (erwartet am 11. Juli).
Quellen
OpenSSH project release notes: OpenSSH Release-9.8
Qualys Vulnerability write-up: Qualys Security Advisory
NVD: NVD - CVE-2024-6387