Heartbleed und OpenSSH

14/04/2014 - 00:42 von Andreas M. Kirchwitz | Report spam
Hallo Sicherheitsexperten!

Sind vom OpenSSL-Bug "Heartbleed" auch OpenSSH-Server betroffen?
SSH verwendet zwar kein TLS mit Heartbeat, aber es heißt, durch
den Bug kann Speicher ausgelesen werden.

Können andere Prozesse (z.B. Webserver oder Mailserver) den Speicher
des OpenSSH-Servers auslesen? Wie geht das unter Unix? Seit wann sind
Prozesse nicht mehr gegeneinander geschützt? Oder liegen Keys in einem
systemglobal zugànglichen Speicherbereich der OpenSSL-Library? Das würde
aber bedeuten, dass z.B. ein Webserver generell jederzeit Zugriff auf
SSH-Keys hàtte - egal ob Heartbleed oder nicht. Kann ich mir irgendwie
nicht vorstellen.

Nach meinem Verstàndnis sind nur genau die jeweiligen Dienste
betroffen, die TLS/Heartbeat verwenden. Wird das gleiche Zertifikat
zwischen mehreren Diensten geteilt (z.B. Mail + Web), müssen natürlich
alle getauscht werden, aber dennoch sind die übrigen Daten der anderen
Dienste nicht betroffen. OpenSSH ist überhaupt nicht betroffen, ohne
Wenn und Aber.

Im Halbwissen des Webs liest man mehrheitlich das Gegenteil, nàmlich
dass Heartbleed ermögliche, beliebigen Speicher aller (auch anderer)
Prozesse auszulesen, die OpenSSL verwenden, egal ob diese überhaupt
TLS/Heartbeat verwenden oder nicht.

Verwirrende Situation ... Andreas
 

Lesen sie die antworten

#1 Volker Birk
14/04/2014 - 00:56 | Warnen spam
Andreas M. Kirchwitz wrote:
Sind vom OpenSSL-Bug "Heartbleed" auch OpenSSH-Server betroffen?



Prinzipiell nicht, aber...

Können andere Prozesse (z.B. Webserver oder Mailserver) den Speicher
des OpenSSH-Servers auslesen?



Ein Problem haben alle, deren Root-Passwort ggf. in einem Prozess im RAM
war, der auch OpenSSL linkt, oder sonst welche Kennwörter oder
Zertifikate, die dann genützt werden können, um entsprechenden Zugriff
zu erhalten.

Viele Grüsse,
VB.
“Vor Snowden war das ein Blog mit Verschwörungstheorien.
Nach Snowden ist das ein Security-Newsticker.
Bei unveràndertem Inhalt...”
Marc Stibane über Fefes Blog

Ähnliche fragen