Beveiligingsadvies NCSC-2024-0272 [1.00] [M/H] Kwetsbaarheid verholpen in OpenSSH
Informatie en Educatieve Uitbreiding: Kwetsbaarheid Verholpen in OpenSSH
Wat is OpenSSH?
OpenSSH (Open Secure Shell) is een toolkit voor veilig netwerkbeheer op afstand. Met behulp van cryptografie worden datastromen beveiligd en wordt de verbinding tussen computers beschermd. OpenSSH is essentieel in beveiliging en wordt veel gebruikt door systeembeheerders wereldwijd.
Recent Verholpen Kwetsbaarheid
De ontwikkelaars van OpenSSH hebben een recent ontdekte kwetsbaarheid verholpen. Deze kwetsbaarheid kon door kwaadwillenden benut worden om zonder voorafgaande authenticatie willekeurige code uit te voeren met de rechten van het SSH daemon-proces (sshd).
Details van de Kwetsbaarheid
- Kwetsbaarheidstype: Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’)
- Specificatie: De kwetsbaarheid is geïdentificeerd als een race condition, waarbij gelijktijdige uitvoering in het sshd-proces niet correct werd gesynchroniseerd.
- Versie Impact: Versies van OpenSSH van 8.5p1 tot en met 9.7p1 zijn kwetsbaar. Eerdere versies tot aan 4.4p1 zijn ook kwetsbaar, maar deze worden niet meer ondersteund. Versies tussen 4.4p1 en 8.5p1 zijn veilig.
- Overeenkomst met Vorige Kwetsbaarheid: De kwetsbaarheid is een regressie van de eerder verholpen kwetsbaarheid CVE-2006-5051, die werd opgelost in versie 4.4p1 maar opnieuw werd geïntroduceerd in versie 8.5p1.
Risico’s van de Kwetsbaarheid
Hoewel het theoretisch mogelijk is om deze kwetsbaarheid op 64-bit systemen uit te buiten, is dit nog niet in de praktijk aangetoond. Het risico blijft echter significant omdat OpenSSH wijdverbreid wordt gebruikt voor beveiligd extern beheer van systemen. Systemen met een actieve sshd-service die via het internet toegankelijk zijn, lopen het grootste risico.
Oplossingen en Mitigatie
Updaten naar Nieuwste Versie
De veiligste oplossing is om te upgraden naar de nieuwste versie van OpenSSH, versie 9.8/9.8p1. Dit kan door de broncode te downloaden en de software opnieuw te compileren.
Alternatieve Workaround
Als een directe update niet mogelijk is, kan de configuratieparameter ‘LoginGraceTime’ in de sshd-configuratie op 0 worden gezet. Dit verkort de wachttijd voor een loginpoging tot nul, waardoor het risico van exploitatie vermindert. Let wel, deze workaround kan de sshd-service gevoeliger maken voor Denial-of-Service aanvallen. Dit vereist dus een zorgvuldige risicoafweging.
Geraadpleegde Referenties
Meer informatie en de officiële releases kunnen worden gevonden via:
CVE-Referenties
Volledige Advisory Informatie
Voor diverse formaten van de advisory en downloads:
- NCSC-2024-0272 Signed-PGP
- [NCSC-2024-0272 Text Download](https://advisories.ncsc.nl/download?ref=NCSC-2024-0272 [1.00]&format=plain)
- [NCSC-2024-0272 CSAF](https://advisories.ncsc.nl/download?ref=NCSC-2024-0272 [1.00]&format=csaf)
- [NCSC-2024-0272 PDF](https://advisories.ncsc.nl/download?ref=NCSC-2024-0272 [1.00]&format=pdf)
Het gebruik van deze security advisory is onderhevig aan voorwaarden. Hoewel het NCSC zorgvuldigheid betracht bij het samenstellen van beveiligingsadviezen, is er geen garantie op volledigheid, juistheid of actualiteit van de informatie. Aan deze adviezen kunnen geen rechten worden ontleend, en het NCSC noch de Staat zijn aansprakelijk voor enige schade voortvloeiend uit het gebruik van deze adviezen.
Door deze informatie te volgen, kunnen systeembeheerders en IT-professionals de beveiliging van hun systemen verbeteren en de mogelijke risico’s van deze kwetsbaarheid beperken.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----