Terrapin-Angriff auf SSH-Verbindungen
Vor kurzem wurde eine neue Sicherheitslücke in SSH namens Terrapin veröffentlicht.
Das Risiko ist vergleichsweise gering, allerdings handelt es sich um eine Schwäche im SSH-Protokoll selbst. Frühe Nachrichten im SSH-Handshake wurden bislang nicht authentifiziert. Daher wurde eine Erweiterung für das SSH-Protokoll entwickelt, die diese Authentifizierung künftig sicherstellt (strict key exchange).
Sicherheitslücke in OpenSSH
Eine von der Firma Qualys gefundene Sicherheitslücke in OpenSSH sorgt gerade für einige Aufregung. In einer kaum bekannten und genutzten Roaming-Funktion von SSH ist ein kritischer Fehler, der unter Umständen einem bösartigen Server das Auslesen des Client-Keys erlaubt.
