21.7.2023 - Die OpenSSH Entwickler haben mit Version 9.3p2 eine Sicherheitslücke geschlossen, die als hochriskant gilt.

Da OpenSSH praktisch auf allen gängigen Servern genutzt wird, sollte man den entsprechenden Patch durch den Betriebssystem-Hersteller baldmöglichst einspielen.

Die Schwachstelle CVE-2016-10009 mit einem Score von 7.3 und der Risikoeinschätzung hoch sollte eigentlich schon mit OpenSSHh 7.4 (2017) behoben sein. Allerdings dürfte dies nicht vollständig gelungen sein, da die PKCS#11-Funktion vom ssh-agent anfällig für das Einschleusen von Schadcode ermöglicht. Dies wird unter dem CVE-2023-38408 mit einem Score von 8.1 und ebenfalls “hoch” als Risikoeinschätzung behandelt.

Weitere Details findet man hier:

• Analyse vom IT Sicherheitsforscher Qualys
• Release Note von OpenSSH 9.3p2

Bei RedHat wird seit 2023-07-20 06:12 UTC an dem Problem als Bug 2224179 gearbeitet. Es ist davon auszugehen, dass der Patch in Kürze zur Verfügung steht. Alle Distributionen, die auf RedHat basieren - beispielsweise Oracle Linux - werden den Patch dann mit einigen Stunden / wenigen Tagen Verzögerung anbieten. 

Für Oracle Linux gibt es folgende Versionen, die den Patch enthalten:

• Oracle Linux 7: OpenSSH 7.4p1-23.0.1
• Oracle Linux 8: OpenSSH 8.0p1-19