Skip to main content
Skip table of contents

ISN 2024-17: Sicherheitslücke in OpenSSH

Erstveröffentlichung am 03. Juli 2024

CVSS 3.1: 9.0 (kritisch)

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Zusammenfassung

In OpenSSH, einer Bibliothek für den sicheren Zugriff auf entfernte Systeme wie IGEL OS, wurde eine Sicherheitslücke entdeckt. Diese betrifft die folgenden IGEL-Produkte:

  • IGEL OS 12

  • IGEL OS 11

Details

In OpenSSH wurde eine Race-Condition im Signal-Handler entdeckt. Diese kann zu einer nicht authentifizierten Remote Code Ausführung führen. Die Schwachstelle wird unter CVE-2024-6387 geführt.

Mitigations

Die OpenSSH Server Funktionalität kann deaktiviert werden, indem die Profileinstellung System > Remote Access > SSH Access > Enable deaktiviert wird. Bitte beachten Sie, dass dadurch der SSH Zugriff auf die konfigurierten Geräte vollständig abgeschaltet wird. Alternativ kann SSH so konfiguriert werden, dass LoginGraceTime = 0 gesetzt ist, indem der Registry-Wert network.ssh_server.login_grace_time auf 0 gesetzt wird. Beachten Sie jedoch, dass dies einen trivialen Denial-of-Service (DoS) für SSH Verbindungen ermöglicht, da nur ein einziger Authentifizierungsversuch gleichzeitig akzeptiert wird.

Update - Anweisungen

  • OS 12: Aktualisieren Sie auf Basissystem Version 12.4.2 (erwartet am 18. Juli).

  • OS 11: Aktualisieren Sie auf IGEL OS 11.10.150 (erwartet am 11. Juli).

Quellen

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.