ComputerBase Menü
Aktuelles

News OpenSSH: Kritische Sicherheitslücke nach 19 Jahren geschlossen

Überschrift: "Kritische Sicherheitslücke nach 19 Jahren geschlossen"
Im Text: "Sicherheitslücke wird nicht als kritisch eingestuft"

Nice.
 
  • Gefällt mir
Reaktionen: GGG107, morphispiz, crvn075 und 33 andere
Hast du ja Recht, aber nur weil sie der Entwickler nicht als kritisch betrachtet, kann jeder andere sie kritisch ansehen. Just a thought
 
  • Gefällt mir
Reaktionen: FranzvonAssisi
In meinen Augen ist das keine Sicherheitslücke. Das sollte das normale Verhalten beim Anmelden bei einem Server sein. (-‸ლ)
 
Nach 19 Jahren darf man wohl mit Fug und Recht sagen, „...das wurde auch Zeit.“ ;)

@MBrain Danke für den Beitrag, sehr interessant solche Facts. Gerne mehr davon. Ein schöner Kontrast zu all den reinen Konsumgeschichten die uns sonst so tagtäglich beschäftigen.

Liebe Grüße
Sven
 
  • Gefällt mir
Reaktionen: cryoman, MBrain und Pulsar77
Mh...CB scheint auch eine kritische Sicherheitslücke zu haben :evillol:

Screenshot_20180824-070921_Chrome.jpgScreenshot_20180824-070855_Chrome.jpg
 
  • Gefällt mir
Reaktionen: cryoman, Eistee45, palimpalim6414 und 20 andere
selbst die Anmeldung bei Google meldet ob der Benutzername / Email registriert ist oder nicht.
Das ist Benutzerfreundlicher (aber etwas unsicherer).
 
@Crumar Du kannst (und solltest) SSH absichern, indem du known_hosts definierst, authorized_keys hinterlegst, sowas wie fail2ban nutzt, um Brute-Force-Attacken abzuwehren und du willst mir erzählen, dass das willkürliche Ausprobieren von Benutzernamen eine kritische Sicherheitslücke ist? Ich bitte dich ...
 
  • Gefällt mir
Reaktionen: cryoman, Lurtz und Kelpo
im prinzip braucht man nur fail2ban als progamm installieren damit kann man dann diesen Bruteforce attacken einhalt gebieten, ansich ist die Sicherheitslücke nicht als kritisch einzustufen da immer noch der Server via Burteforce attackiert werden muss um ein Passwort herauszufinden. Außerdem ist man auch einigermaßen save wenn man nicht default User verwendet und den rootuser keine Anmeldung via SSH erlaubt. :)
 
  • Gefällt mir
Reaktionen: Mort626
Nase schrieb:
Überschrift: "Kritische Sicherheitslücke nach 19 Jahren geschlossen"
Im Text: "Sicherheitslücke wird nicht als kritisch eingestuft"

Nice.
Zum Vergrößern anklicken....

In der angegebenen Quelle ist die überschrift nicht so reißerisch.. Dort ist auch nur die nicht kritische Form im Text zu finden.

Überschriften a la Klatschpresse.
Und es fällt sofort auf

Mega minus dafür.
 
  • Gefällt mir
Reaktionen: palimpalim6414, Olunixus und Lurtz
Benji18 schrieb:
Außerdem ist man auch einigermaßen save wenn man nicht default User verwendet und den rootuser keine Anmeldung via SSH erlaubt. :)
Zum Vergrößern anklicken....

Man ist übrigens auch sicher, wenn man für SSH nicht den Standard-Port verwendet, sondern irgendeinen anderen. Hab ich vor 10 Jahren auf einem öffentlich erreichbaren Webserver eingerichtet und beibehalten. Anzahl versuchter Verbindungsaufnahmen: 0
 
  • Gefällt mir
Reaktionen: cryoman und Benji18
MaBo. schrieb:
In meinen Augen ist das keine Sicherheitslücke. Das sollte das normale Verhalten beim Anmelden bei einem Server sein. (-‸ლ)
Zum Vergrößern anklicken....

User enumeration ist bei einer Sicherheitssoftware als kritisch einzustufen.
 
Das einzige was hier kritisch ist, ist der Clickbait ;)
 
  • Gefällt mir
Reaktionen: SIR_Thomas_TMC, palimpalim6414 und 0-8-15 User
DocWindows schrieb:
Man ist übrigens auch sicher, wenn man für SSH nicht den Standard-Port verwendet, sondern irgendeinen anderen. Hab ich vor 10 Jahren auf einem öffentlich erreichbaren Webserver eingerichtet und beibehalten. Anzahl versuchter Verbindungsaufnahmen: 0
Zum Vergrößern anklicken....

Das ist dann eine Ausnahme. Genervt von den Einlogversuchen habe ich den Port umgelegt. Erst einmal wohlige Stille. Nach ein paar Wochen ging das wieder los.

Ansonten war das schon immer ein Thema. Erinnere mich noch vor oh, mein Gott, 30 Jahren? Beim lokalen Login an der Konsole wurde versucht die Zeit bis zum "Passwort:" immer konstant zu halten. Nicht, dass ein Angreifer anhand der Zeit zwischen Username und Passwort erraten kann ob ein Nutzer mit dem Namen gibt oder nicht.
 
Es waere schoen, wenn ihr bezueglich sicherheitsrelevanter/sicherheitskritischer Themen etwas frueher berichten koenntet.
 
Wer im kommerziellen Bereich nicht ausschließlich mit Key-Authentifizierung arbeitet dem ist eh nicht zu helfen, und für diejenigen die es tun ist das ganze völlig unerheblich.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

HayKer
Verbindung auf einen Server über IPv6 funktioniert mit Debian 11, aber nicht mit Debian 12
Antworten
7
Aufrufe
975
riversource
R
Baal Netbeck
Leserartikel Baal auf der Suche nach den Energiefressern im PC
3 4 5
Antworten
98
Aufrufe
15.789
Baal Netbeck
Baal Netbeck
T
Nach OS-Update: Raspi crasht taeglich mehrfach
Antworten
15
Aufrufe
5.442
.t0x
T
E
Cisco Catalyst - Fragen zu Lizenzierung und Zertifikaten
Antworten
12
Aufrufe
4.481
Ranayna
Ranayna
N
SSH Keys zantral verwalten unter Linux
Antworten
7
Aufrufe
3.271
Nerofu
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz