Die Qualys Threat Research Unit (TRU) hat zwei Schwachstellen in OpenSSH identifiziert. Die erste, die als CVE-2025-26465 bezeichnet wird, ermöglicht einen aktiven Man-in-the-Middle-Angriff auf den OpenSSH-Client, wenn die Option VerifyHostKeyDNS aktiviert ist. Die zweite, CVE-2025-26466, betrifft sowohl den OpenSSH-Client als auch den Server und ermöglicht einen Denial-of-Service-Angriff vor der Authentifizierung.
Der Angriff auf den OpenSSH-Client (CVE-2025-26465) ist unabhängig davon, ob die Option VerifyHostKeyDNS auf „yes“ oder „ask“ gesetzt ist (die Standardeinstellung ist „no“), erfolgreich, erfordert keine Benutzerinteraktion und hängt nicht von der Existenz eines SSHFP-Ressourceneintrags (eines SSH-Fingerprints) im DNS ab. VerifyHostKeyDNS ist eine OpenSSH-Clientkonfigurationsoption, die es dem SSH-Client ermöglicht, den Hostschlüssel eines Servers anhand von DNS-Einträgen (insbesondere SSHFP-Einträgen) zu suchen und zu überprüfen. Die Schwachstelle wurde im Dezember 2014 kurz vor der Veröffentlichung von OpenSSH 6.8p1 bekannt. Obwohl VerifyHostKeyDNS standardmäßig deaktiviert ist, war es unter FreeBSD von September 2013 bis März 2023 standardmäßig aktiviert.
Der OpenSSH-Client und -Server sind anfällig (CVE-2025-26466) für einen Denial-of-Service-Angriff vor der Authentifikation – eine asymmetrische Nutzung von Speicher- und CPU-Ressourcen -, der im August 2023 (kurz vor der Veröffentlichung von OpenSSH 9.5p1) eingeführt wurde. Auf der Serverseite kann dieser Angriff durch die Verwendung bestehender Mechanismen in OpenSSH, wie LoginGraceTime, MaxStartups und die neueren PerSourcePenalties, abgeschwächt werden.
Empfohlene Maßnahme: OpenSSH 9.9p2 behebt die oben genannten Schwachstellen. Um die Sicherheit weiterhin zu gewährleisten, empfehlen wir dringend, betroffene Systeme so schnell wie möglich auf 9.9p2 zu aktualisieren.
Über OpenSSH: Sichere Unternehmenskommunikation und -infrastruktur
OpenSSH ist eine kostenlose Open-Source-Implementierung des Secure-Shell (SSH) -Protokolls, das verschlüsselte Kommunikation über unsichere Netzwerke ermöglicht. Es ist in Unix-ähnlichen Systemen (einschließlich Linux und MacOS) und vielen modernen Betriebssystemen weit verbreitet und ersetzt Klartextprotokolle wie Telnet und FTP durch sichere Remote-Anmeldung, Dateiübertragung, Port-Weiterleitung und Tunneling.
Mit robuster Verschlüsselung, Privilegientrennung, Sandboxing und modernen Speicherverteilern minimiert OpenSSH das Risiko von Speicherschwachstellen und unberechtigtem Zugriff. Die Skalierbarkeit auf Unternehmensebene unterstützt automatisierte Prozesse, Backups und komplexe DevOps-Workflows – und das alles bei gleichzeitiger Durchsetzung strenger Zugriffskontrollen. Trotz dieser beiden Schwachstellen hat sich OpenSSH aufgrund seiner Erfolgsgeschichte bei der Aufrechterhaltung von Vertraulichkeit und Integrität zu einem Maßstab für Softwaresicherheit entwickelt und gewährleistet sichere Kommunikation für Organisationen weltweit.
Betroffene OpenSSH-Versionen:
- OpenSSH-Versionen von 6.8p1 bis 9.9p1 sind anfällig für CVE-2025-26465, den Fehler, der im Dezember 2014 bekannt wurde.
- OpenSSH-Versionen 9.5p1 bis 9.9p1 sind anfällig für CVE-2025-26466, den Fehler, der im August 2023 bekannt wurde.
OpenSSH 9.9p2 behebt die oben genannten Verwundbarkeiten. Führen Sie umgehend ein Upgrade durch, um Ihre Sicherheit zu gewährleisten.
Technische Details: Die technischen Details dieser Schwachstelle finden sich unter https://www.qualys.com/2025/02/18/openssh-mitm-dos.txt
Erkennung und Behebung von CVE-2025-26466 und CVE-2025-26465 mit Qualys-Totalcloud-Container-Security
Qualys-Totalcloud-Container-Security bietet umfassende Abdeckung und Transparenz in Bezug auf Schwachstellen in allen Container-Umgebungen, einschließlich gemanagter und lokaler Kubernetes-Umgebungen. So können Unternehmen schnell auf Risiken reagieren, diese priorisieren und effektiv mindern.
Nutzen Sie die Leistungsfähigkeit von Qualys-Totalcloud-Container-Security und der Qualys-Query-Language (QQL), um anfällige Assets effizient zu identifizieren und zu priorisieren sowie eine schnelle und effektive Behebung der durch CVE-2025-26466 und CVE-2025-26465 identifizierten Schwachstellen zu gewährleisten.
Schlussfolgerung
Qualys empfiehlt allen Kunden und Anwendern dringend, auf die neueste Version von OpenSSH zu aktualisieren, um potenzielle Sicherheitslücken zu schließen. Das OpenSSH-Projekt ist seit langem dafür bekannt, sicheren Fernzugriff zu ermöglichen, und diese neue Version unterstreicht sein Engagement für den Schutz der Benutzergemeinschaft. Mit dem Upgrade erhalten Anwender Zugang zu wichtigen Sicherheitsverbesserungen und den fortschrittlichsten Funktionen, die das OpenSSH-Projekt zu bieten hat. Wir möchten den OpenSSH-Entwicklern für ihre Arbeit an dieser Version und ihr anhaltendes Engagement für das OpenSSH-Projekt danken.
Info: Um über die neuesten Entdeckungen des TRU-Teams auf dem Laufenden zu bleiben, können Interessierte den Blog von Qualys abonnieren.
#Qualys
powered by Borlabs Cookie 