[English]Mit dem Oktober 2024 Patchday hat Microsoft das Update KB5044273 für Windows 10 22H2 ausgeliefert. Das kumulative Update aktualisiert dabei auch OpenSSH for Windows, was dann zu diversen Problemen führen kann. Nutzer von Yubikey scheinen von diesem Update betroffen zu sein, wie berichtet wurde.
Anzeige
Eine Lesermeldung
Blog-Leser KAnaguma hat sich in diesem Kommentar im Blog gemeldet und merkt an, dass das kumulative Update KB5044273 für Windows 10 die "OpenSSH_for_Windows_8.1p0"-Bibliothek auf "OpenSSH_for_Windows_9.5p1" aktualisiert (ist am Rande und ohne Versionsnummer im Beitrag Microsoft Security Update Summary (8. Oktober 2024) erwähnt).
Windows 10 Update KB5044273
Das kumulative Update KB5044273 für Windows 10 Version 21H1 – 22H2 enthält laut Microsoft verschiedene Sicherheitsverbesserungen für interne Betriebssystemfunktionen (Patchday: Windows 10/Server-Updates (8. Oktober 2024)). Inzwischen wurde von Microsoft ein Problem (schwarzer Bildschirm wird bei der Anmeldung am Azure Virtual Desktop (AVD) angezeigt) bestätigt. Microsoft will diesen Bug durch ein Known Issue Rollback (KIR) inzwischen gefixt haben.
Updates schließen OpenSSH RCE-Schwachstelle CVE-2024-43581
Das oben genannte Update KB5044273 sowie weitere Windows-Updates vom 8. Oktober 2024 schließen die Remote Code Execution-Schwachstelle CVE-2024-43581 in OpenSSH for Windows. Diese ist mit einem CVSS 3.1-Score von 7.1 (High) bewertet. Rapid 7 listet in diesem Dokument die betroffenen Windows-Updates (Windows 10/11, Windows Server 2019/2022) auf.
Zur Ausnutzung der Schwachstelle muss der Angreifer eine Schaddatei in einem lokalen Ordner ablegen und den Anwender dazu bringen, einen einen bestimmten Dateiverwaltungsvorgang durchzuführen. Die Komplexität des Angriffs wird als hoch eingeschätzt.
Anzeige
Probleme mit OpenSSH_for_Windows_9.5p1
Die Aktualisierung des OpenSSH_for_Windows_9.5p1-Pakets scheint aber an verschiedenen Stellen für Probleme zu sorgen.
OpenSSH-Dienst startet nicht mehr
Auf reddit.com berichtet ein Nutzer mit dem Alias Big-Admin, dass die kumulativen Updates für Windows Server 2019 und Windows Server 2022 ebenfalls ein neues OpenSSH enthalten, um CVE-2024-43581 zu schließen. Dadurch wurde deren OpenSSH-Dienst in den jeweiligen Windows-Versionen beschädigt und startet nicht mehr.
Die Deinstallation dieses Patches hilft und ist ein funktionierender Workaround. Der betreffende Benutzer hat aber noch einen zweiten Fix gefunden und schreibt, dass das Löschen der Log-Dateien im Ordner:
C:\PROGRAMDATA\SSH\
das Problem beseitigt habe. Der OpenSSH-Dienst startet bei ihm wieder.
OpenSSH-Probleme mit PIV/PKCS11 Zertifikat
Blog-Leser KAnaguma schreibt in diesem Kommentar, dass die Installation des Update KB5044273 dazu führt, dass die Erkennung des PIV/PKCS11-Zertifikat auf einem vom Nutzer zur Authentifizierung verwendeten Yubikey nicht mehr funktioniert. Das Problem mit OpenSSH_for_Windows_9.5p1 ist laut diesem Bug-Report bei Yubikey seit Anfang Juli 2024 bekannt zu sein.
Der Betroffene gibt an, dass damit die Authentifizierung per Yubikey am Windows Terminal und auch bei VSCode unter Windows 10 und Windows 11 nicht mehr möglich ist. Aktuelle Lösung ist die Deinstallation des Update KB5044273 – was aber dauerhaft Probleme bringt.
Anzeige
Anmerkungen:
Seit dem letzten Monats-Update unter Windows11 konnte ich mich nicht mehr per "ssh" client auf ältere Linux-Server verbinden:
Unable to negotiate with port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss
Lösung: "ssh -o HostKeyAlgorithms=+ssh-dss …"
Zusätzlich generiert "ssh-keygen" nun files im "ssh-ed25519" format.
Was man auch machen kann ist im User Profil unter .\.ssh\ die "config" Datei anpassen / anlegen und folgenden Eintrag machen:
Host xxx.xxx.xxx.xxx
HostKeyAlgorithms +ssh-rsa,+ssh-dss
User
Ggf. sind noch weitere Ergänzungen notwendig wie z.B. Ciphers, KexAlgorithms oder MACs.
Wieder einmal hat Microsoft gezeigt, daß es Updates nicht im Griff hat. Bei dem überkomplexen windows System ist das keine wirkliche Überraschung. Ich verstehe nur nicht, warum immer noch soviele Deppen darauf reinfallen und dafür noch gutes Geld hinterherschmeißen.
Geht das schon wieder los. Die Update Beiträge kann man sich inzwischen kaum noch durchlesen mit den immer gleichen Unqualifizierten Kommentaren gegen Windows…
Mich nerven diverse Geschichten auch, aber was solls. Die Firmen brauchen es und oft hast du einfach keine Wahl. Und so tragisch ist es hier nicht einmal, dass man wieder hate verbreiten muss.
Bei Firmen bin ich bei dir.
Aber bei Privatnutzern kann ich nur noch mitleidig mit den Augen rollen, wenn ich mitbekomme, dass sie freiwillig Windows nutzen.
privat ist das Windows schon auf der, jeder neuen Kiste drauf.
Der Private wird überhaupt nicht auf die Idee kommen, ein Notebook ohne Windows bestellen zu wollen. Und wenn,wie? Die Situation ist teilweise grotesk: Das gleiche Notebook soll ohne Windows mehr kosten als mit.
Der Aufpreis für ein Vorinstallierte Windows ist minimal. Warum sollte der Private das Risiko eingehen, das das Linux auf dem neuen Board nicht läuft wenn er für einen geringen oder gar keine Aufpreis ein garantiert lauffähiges System bekommt?
Und wenn es nicht läuft,ruft er beim Support an…
Und deshalb ist es ok, wenn Microsoft durch schlechte Updates den Kunden Stress, Kosten und Ausfälle beschert? Vielleicht sollten mal alle Kunden Microsoft böse Briefe schreiben, damit das Management unter Druck gesetzt wird, für Qualität zu sorgen.
Da ist schon massiver Druck auf dem Kessel wegen der diversen Sicherheitsvorfälle. Aber MS ist alternativlos – so wie es dargestellt wird. Warum sollten die was ändern? Solange es Hochglanz-Prospekte gibt, auf die man "wir machen was" drucken kann, ist doch alles gut. Der Rest macht die Anwenderschaft, die mir teilweise den Kopf wegen Microsoft Bashing wäscht, wenn ich mal wieder über den neuesten Klops berichte.
PS: Mein Arzt meinte, ich solle zukünftig weniger Popcorn essen … Leben kann schon krass sein – muss ich weniger bloggen und mehr spazieren gehen.
Zusammenschliessen und selber für Alternativen sorgen? Würde auch unserer öffentlichen Verwaltung helfen. Oder wir bleiben weiterhin Microsoft-Junkies, während Microsoft den Stoff immer weiter streckt und uns noch teurer verkauft.
Ich verstehe ja beide Seiten. Microsoft hat vom großen Entwurf schon eine Bresche geschlagen – sehe ich, wenn ich derzeit mal wieder öfters mit Linux herum stoppele. Linux ist zwar ein Fels – aber da drauf muss eine GUI gepackt werden, wo es dann für meinen Begriff oft an Feinheiten hapert. Alleine mal schauen, wie der Mauszeiger in den Linux GUIs gestaltet wurde (ist wie Vorschlaghammer zur Reparatur von Taschenuhren) – nervt mich auch.
Andererseits ist seit fünf Jahren klar, wohin Windows und die anderen MS-Produkte sich entwickeln werden – konnte man sich nichts drunter vorstellen. Ich stelle hier meine Weichen, dass ich nicht auf Windows 11 angewiesen bin, sondern auch mit Linux arbeiten kann. Als Blogger kann ich auf Probleme und Unzulänglichkeiten hinweisen (und mache das – nicht unbedingt zur Freude mancher Protagonisten auch ausgiebig) und OpenSource (wie OpenDesk & Co.) erwähnen. Aber am Ende des Tages muss jeder selbst springen.
Ob da Leute in der Lage zum "selber machen" sind – muss jeder selbst entscheiden. Ich habe mir ja mal die Kante gegeben und drei Auflagen eines OpenOffice.org-Buches von ~1.100 Seiten geschrieben – die erste Variante noch für SuSE-Press. Da sind von meiner Seite einige 10.000 Euro an Aufwand verbrannt worden – 3 volle Monate Arbeit für ca. 2.500 bis 3.000 Euro Tantiemen. Nach der 3. Auflage habe ich dann beschlossen "nun ist aber mal gut", offenbar brauchte kein Mensch der Welt diese Bücher – also kann weg. Aktuell beschränkt sich mein Wirken darauf, OpenSource-Anwendungen selbst zu nutzen, gelegentlich hier im Blog vorzustellen und ansonsten dem einen oder anderen Projekt, welches ich nutze/mir naheliegt, mit einer Donation zu spenden.
Die große Darstellung des Mauszeigers liegt vermutlich an einer sehr geringen Auflösung des alten Notebooks, aber man kann sowohl das Aussehen des Mauszeigers anpassen:
https://www.computerwoche.de/article/2860440/mauszeiger-aendern-2.html
als auch die Größe:
Systemeinstellungen > Maus und Touchpad > Maus > Zeigergröße und -geschwindigkeit zu ändern.
Eventuell kann auch die fraktionale Skalierung etwas verbessern:
https://forums.linuxmint.com/viewtopic.php?t=400653
Berechtigte Kritik ist willkommen und muss auch sein (egal für welches OS oder Programm)! Feedback ist wichtig, um Veränderungen zu ermöglichen.
Zu Linux: Der Mauszeiger lässt sich nach Belieben ändern. Bei den Desktop Environments gibt es meist eine Einstellung und optionale Mauszeigerthemen. Und Minimalisten schauen in der Doku vom Windowmanager nach oder nehmen xsetroot.
Maus Zeiger ?
Der hat bei Windows schon die richtige Größe… Der User muss nicht forschen und frickeln.
Ist der Unterschied klar?
Ein Drama war bei Linux früher die Installation.
Es gab regelmäßige Installations-Abende wo Newbies auf die Nerds trafen und gefrustet anzogen, weil auch die Netze nicht helfen konnten.
Die Installation ist weit besser geworden.
d-conf Editor ist auch recht praktisch:
https://community.linuxmint.com/software/view/dconf-editor
Den installieren falls er nicht schon installiert ist und dann zu org/cinnamon/desktop/interface/cursor-size
navigieren und die Größe anpassen
Warum lassen Sie solche Beiträge wie den von mw überhaupt zu bzw. stehen? Bringt das Werbeklicks? Wissen Sie, wieviele Leser damit schon verkrätzt wurden? Hatte sich ja erst kürzlich ordentlioch hochgeschaukelt, mit Abgang einiger wirklich engagierter (aber durch solche Beiträge genervte) Kommentierer.
Ist aber jetzt das "ganz große Besteck", was da mit "Werbeklicks" ausgepackt wird. Nicht von Wissen, aber viel Meinung getragen. Als Hausmeister versuche ich möglichst wenig moderierend einzugreifen und ziehe nur dann die Notbremse, wenn es wirklich eskaliert. Der inkriminierte Kommentar war nicht so, dass ich aus meiner Sicht löschen müsste.
Ansonsten gilt: Es wird niemand gezwungen, den Blog hier zu lesen – und mir wäre es auch lieber, der Moderationsaufwand wäre – wie vor Coronazeiten – nahe Null. Aber die Welt ist nun leider nicht mehr so – mag man beklagen – ich kann es aber nicht ändern. Und damit bin ich hier wieder raus.
Weil es in vielen Bereichen keine Alternativen gibt. Businesssoftware besteht nicht nur aus irgend einem Web Frontend in das man Daten eintippt. Z. B. CAD und Abrechnungssoftware für den Bau. Da reicht nicht irgend eine Opensource CAD Anwendung. Libre Office für die Abrechnung. Das müssen nachher dann hinten prüfbare Ergebnisse für die Auftraggeber raus kommen in spezifischen Datenformaten. Oder Buchhaltungssoftware und ich rede da nicht von SAP, das ist noch eine Ganz andere Baustelle. Die Firmen die die Software für Windows programmieren machen dort schon schlechte Arbeit.
Wobei hier oft die kleineren Warenwirtschaftssysteme deutlich weiter sind und keine Probleme mit LibreOffice und OpenSource haben.
Es sind im Regelfall die "großen" Anbieter die, aufgrund zu hoher Komplexität und z.T. Code aus der Steinzeit, Probleme mit allem haben und jede neue GUI als "Super-Innovation" verkaufen.
Und bei großen Firmen gilt immer noch, egal wie schlimm es ist, "niemand wurde gefeuert, weil er IBM kaufte!" – die Qualität spielt nur eine untergeordnete Rolle, an erster Stelle steht der Compliance-Bullshit.
und zum dem Post von MW: OpenSSH hat in den letzten Jahren auch nicht immer geglänzt, OS ist kein Garant für Sicherheit.
Bitte "OpenSSH hat in den letzten Jahren auch nicht immer geglänzt" mit Belegen ergänzen.
https://letmegooglethat.com/?q=openssh+security+issues –> https://www.openssh.com/security.html
So wie überall (Software ≠ perfekt) gibts auch hier Fehler und Probleme. Denke so war das gemeint von Joerg.
wenn das openssh service nicht started, ist es teilweise notwendig auch den Ordner und nicht nur die Dateien darin
C:\PROGRAMDATA\SSH\Log zu löschen, weil der falsche berechtigungen hat und dadurch das service nicht started
siehe https://github.com/PowerShell/Win32-OpenSSH/issues/2282
Hat jemand Probleme mit PDM Tresor im CAD Bereich seit dem Update?
Bei uns ebenfalls. Der OpenSSH Service startete nicht mehr, in einem CMD lies sich sshd.exe aber starten, und der definierte Port ist wieder auf "listen". Allerdings lief die Applikation trotzdem noch nicht.
Wie oben erwähnt habe ich das "C:\PROGRAMDATA\SSH\Logs" Verzeichnis umbenannt, danach lies sich der Dienst auch wieder starten, die Applikation funktioniert ebenfalls wieder korrekt.
also das mit den nichstartenden Diensten ist ein altes Leiden von den MS OpenSSH Versionen. Das ist auch der Grund, warum ich bei meinen Projekten überall das Feature deaktiviert habe und nur noch manuell über das github msi installiere, was mir dann noch erlaubt Security Fixes früher einzuspielen.
Aus meiner Erfahrung heraus machen Updates die Permissions am OpenSSH kaputt, weshalb sogar standardmäßig 2 Powershell scripte im ProgrammPfad liegen, die das Problem lösen.
"C:\Program Files\OpenSSH\FixHostFilePermissions.ps1"
"C:\Program Files\OpenSSH\FixUserFilePermissions.ps1"
am besten beides 2 Mal drüber laufen lassen (manchmal ist die Reihenfolge entscheidend), damit sollten dann auch wieder die Dienste starten können. Keine Ahnung warum MS das nicht per default im Setup eingebaut hat, was auf meiner Seite schon zig Arbeitsstunden vernichtet hat.