Verschlüsselung & Datensicherheit

Sicherheitslücken bei OpenBSD

Angreifer könnten sich ohne gültige Login-Daten an OpenBSD-Systemen anmelden - OpenBSD 6.6 ist abgesichert

Die Entwickler von OpenBSD haben vier Sicherheitslücken geschlossen. Sind Attacken erfolgreich, könnten sich entfernte Angreifer mit vergleichsweise wenig Aufwand am System anmelden oder höhere Nutzerrechte erlangen. Das Notfallteam des BSI CERT-Bund stuft das von den Lücken ausgehende Risiko in einer Meldung als "hoch" ein.

Gefährliche Sicherheitslücke

Am gefährlichsten gilt die Sicherheitslücke mit der Kennung CVE-2019-19521. Darüber könnten Angreifer aus der Ferne das Authentifizierungssystem von OpenBSD umgehen. In einer Warnung der Sicherheitsfirma Qualys schreiben die Sicherheitsforscher, dass Angreifer in einer speziellen Anfragen lediglich den Nutzernamen durch die Befehle -schallenge oder -schallenge:passwd ersetzen müssen und schon erfolgt die Authentifizierung automatisch.

In der Warnung beschreiben sie auch, wie lokale Angreifer durch das Ausnutzen weiterer Sicherheitslücken am Ende mit Root-Rechten dastehen könnten. Das OpendBSD-Team hat die Schwachstellen innerhalb von 40 Stunden nach dem ersten Kontakt durch Qualys geschlossen.

Weitere Informationen

Hier geht es zur Heise Online News

Warnung von Qualys

Verschlüsselungen

Anonym im Internet

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben