News OpenSSH: Kritische Sicherheitslücke nach 19 Jahren geschlossen

MaBo.

Cadet 2nd Year
Dabei seit
Sep. 2012
Beiträge
21
#4
In meinen Augen ist das keine Sicherheitslücke. Das sollte das normale Verhalten beim Anmelden bei einem Server sein. (-‸ლ)
 
Dabei seit
Mai 2018
Beiträge
3.309
#5
Nach 19 Jahren darf man wohl mit Fug und Recht sagen, „...das wurde auch Zeit.“ ;)

@MBrain Danke für den Beitrag, sehr interessant solche Facts. Gerne mehr davon. Ein schöner Kontrast zu all den reinen Konsumgeschichten die uns sonst so tagtäglich beschäftigen.

Liebe Grüße
Sven
 

BLJ

Cadet 2nd Year
Dabei seit
Juni 2005
Beiträge
24
#7
selbst die Anmeldung bei Google meldet ob der Benutzername / Email registriert ist oder nicht.
Das ist Benutzerfreundlicher (aber etwas unsicherer).
 

Nase

Lieutenant
Dabei seit
Jan. 2004
Beiträge
578
#8
@Crumar Du kannst (und solltest) SSH absichern, indem du known_hosts definierst, authorized_keys hinterlegst, sowas wie fail2ban nutzt, um Brute-Force-Attacken abzuwehren und du willst mir erzählen, dass das willkürliche Ausprobieren von Benutzernamen eine kritische Sicherheitslücke ist? Ich bitte dich ...
 
Dabei seit
Jan. 2005
Beiträge
3.174
#9
im prinzip braucht man nur fail2ban als progamm installieren damit kann man dann diesen Bruteforce attacken einhalt gebieten, ansich ist die Sicherheitslücke nicht als kritisch einzustufen da immer noch der Server via Burteforce attackiert werden muss um ein Passwort herauszufinden. Außerdem ist man auch einigermaßen save wenn man nicht default User verwendet und den rootuser keine Anmeldung via SSH erlaubt. :)
 
Dabei seit
Nov. 2012
Beiträge
186
#11
Dabei seit
Sep. 2004
Beiträge
908
#12
Dabei seit
Dez. 2010
Beiträge
1
#13
Überschrift: "Kritische Sicherheitslücke nach 19 Jahren geschlossen"
Im Text: "Sicherheitslücke wird nicht als kritisch eingestuft"

Nice.
In der angegebenen Quelle ist die überschrift nicht so reißerisch.. Dort ist auch nur die nicht kritische Form im Text zu finden.

Überschriften a la Klatschpresse.
Und es fällt sofort auf

Mega minus dafür.
 
Dabei seit
Mai 2013
Beiträge
3.986
#14
Außerdem ist man auch einigermaßen save wenn man nicht default User verwendet und den rootuser keine Anmeldung via SSH erlaubt. :)
Man ist übrigens auch sicher, wenn man für SSH nicht den Standard-Port verwendet, sondern irgendeinen anderen. Hab ich vor 10 Jahren auf einem öffentlich erreichbaren Webserver eingerichtet und beibehalten. Anzahl versuchter Verbindungsaufnahmen: 0
 
Dabei seit
Nov. 2004
Beiträge
3.650
#16
Dabei seit
Juni 2005
Beiträge
3.478
#18
Man ist übrigens auch sicher, wenn man für SSH nicht den Standard-Port verwendet, sondern irgendeinen anderen. Hab ich vor 10 Jahren auf einem öffentlich erreichbaren Webserver eingerichtet und beibehalten. Anzahl versuchter Verbindungsaufnahmen: 0
Das ist dann eine Ausnahme. Genervt von den Einlogversuchen habe ich den Port umgelegt. Erst einmal wohlige Stille. Nach ein paar Wochen ging das wieder los.

Ansonten war das schon immer ein Thema. Erinnere mich noch vor oh, mein Gott, 30 Jahren? Beim lokalen Login an der Konsole wurde versucht die Zeit bis zum "Passwort:" immer konstant zu halten. Nicht, dass ein Angreifer anhand der Zeit zwischen Username und Passwort erraten kann ob ein Nutzer mit dem Namen gibt oder nicht.
 

KingD

Cadet 4th Year
Dabei seit
Okt. 2007
Beiträge
68
#19
Es waere schoen, wenn ihr bezueglich sicherheitsrelevanter/sicherheitskritischer Themen etwas frueher berichten koenntet.
 

patrick888

Cadet 4th Year
Dabei seit
Dez. 2003
Beiträge
71
#20
Wer im kommerziellen Bereich nicht ausschließlich mit Key-Authentifizierung arbeitet dem ist eh nicht zu helfen, und für diejenigen die es tun ist das ganze völlig unerheblich.
 
Top