Eine alte Sicherheitslücke CVE-2006-5051 wurde vom OpenSSH Projekt schon vor 20 Jahren behoben. Anscheinend wurde durch eine Änderung im Code im Oktober 2020 die Lücke - stark entschärft - wieder eingebaut. Die aktuelle Lücke läuft unter der CVE-ID CVE-2024-6387 und ist in folgenden OpenSSH Versionen behoben:
Einige Distributionen haben den Patch allerdings schon auf ältere Versionen zurückportiert.
Da Datenbank-Server in der Regel nicht direkt mit SSH aus dem Internet erreichbar sind, ist die Gefahr somit nicht ganz so hoch. Allerdings könnten andere Systeme wie WebServer, Firewalls, etc. exponiert und damit angreifbar sein.
Aktuell haben Debian und Ubuntu schon korrigierte Versionen von OpenSSH. Laut Red Hat ist lediglich RHEL 9 (und somit voraussichtlich auch OEL 9) betroffen. RHEL 8 nutzt eine ältere Variante von OpenSSH die den Fehler nicht enthalten dürften.
Weitere Informationen finden Sie bei Heise.
Update vom 3. Juli 2024: OpenSSH 9.8p1 enthält neben dem Bug-Fix auch einen eingebauten Bruteforce-Schutz. Weitere Details ebenfalls bei Heise.
Update vom 10. Juli 2024: Es gibt auch für RHEL/OL 9 eine verwandtes Thema - siehe auch den entsprechenden Artikel bei Heise.
Weiterführende Links:
- Oracle Linux 9 CVE Details für CVE-2024-6387 wurde am 4. Juli 2024 behoben. Aktualisierte Version ist OpenSSH 8.7p1-38.0.2