In OpenSSH wurde eine Sicherheitslücke gefunden, die die Versionen 5.4 bis 7.1 betrifft (CVE-2016-0777 und -0778). Die Version 7.1p2 behebt das Problem.
Die Lücke betrifft den SSH-Client, dem von einem nicht vertrauenswürdigen SSH-Server Daten entlockt werden können, darunter auch der private Schlüssel des Clients. Die betroffenen Versionen sind in der Standardkonfiguration angreifbar, die undokumentierte Client-Option „UseRoaming no“ schafft einen Workaround, allerdings sind für Debian und Ubuntu bereits aktualisierte Pakete vorhanden.
Auf bei uns gehosteten und betroffenen Systemen mit Update-SLAs oder Managementverträgen werden die aktualisierten Pakete zeitnah installiert werden. Kunden, die sich mit ihrem betroffenen SSH-Client zu Servern verbunden haben, die nicht unter ihrer Kontrolle stehen empfehlen wir das Auswechseln der SSH-Schlüssel.
Ihr Hostway Team
