![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Ich ziehe mal ein Thema zu einem Sammelbeitrag zusammen, welches schon ein paar Tage bei mir auf der Agenda steht. Vor einigen Tagen wurde bekannt, dass es in OpenSSH die Schwachstelle CVE-2023-38408 gibt. W\u00e4hrend die IT nun auf Patches wartet, (in Linux gibt es wohl Update) stellt sich ein zweites Thema: n\u00e4mlich die\u00a0 Aktualisierung von OpenSSL und Windows und bei der Microsoft-L\u00f6sung PowerBI.<\/p>\n
<\/p>\n
OpenSSH<\/a> ist dagegen ein Programmpaket zur Datei\u00fcbertragung. Dazu nutzt es Secure Shell inklusive SSH File Transfer Protocol und beinhaltet daf\u00fcr Clients, Dienstprogramme und einen Server.<\/p>\n Erst im Februar 2023 wurden in OpenSSH 9.2 wurde zwei Sicherheitsprobleme behoben (siehe mein Blog-Beitrag Nachlese zu Sicherheitsl\u00fccken und Patches (6. Feb. 2023)<\/a>).<\/p>\n Laut NIST-Beitrag vom 22. Juli 2023\u00a0 gibt es in der PKCS#11-Funktion im ssh-agent in OpenSSH vor 9.3p2 die <\/em>Schwachstelle CVE-2023-38408<\/a>. Ein nicht ausreichend vertrauensw\u00fcrdigen Suchpfad kann zu einer Remote Code-Ausf\u00fchrung f\u00fchren. Dieses Problem besteht aufgrund einer unvollst\u00e4ndigen Korrektur f\u00fcr CVE-2016-10009. Yair Divinsky von vulcan.io hat zum 20. Juli 2023 im Beitrag How to fix CVE-2023-38408 in OpenSSH<\/a> auf das Thema hingewiesen. W\u00e4re wom\u00f6glich an mir vorbei gegangen, wenn nicht dieser Kommentar<\/a> hier im Blog hinterlassen worden w\u00e4re.<\/p>\n Jetzt m\u00fcssen unsere Linux-Freunde mal wieder stark sein, nachdem es letzte Woche eines der Vorzeigeprojekte \"Ghostscript\" getroffen hat, ist jetzt das sehr sicherheitsrelevante OpenSSH, an dem die Besten der Besten programmieren, und JEDER in den Quellcode reinschauen kann, und das z.B. auch bei SFTP f\u00fcr \u00f6ffentlich zug\u00e4ngliche Server eine au\u00dferordentlich wichtige Rolle spielt, vom BSI mit einem Score von 8.1 f\u00fcr die grandiose Leistung CVE-2023-38408 auf Sicherheitskala bedacht worden. Gratuliere! Patches gibts derzeit wahrscheinlich nur f\u00fcr OpenSSH 9 (9.3p2), aber da die L\u00fccke in einer offensichtlich fehlerhaften Sicherheitskorrektur von OpenSSH 7 CVE-2016-10009 steckt, werden wohl auch zu 7 und 8 Backports n\u00f6tig sein.<\/p>\n Und wie man leicht anhand der CVE-Nummern ausrechnen kann, war die L\u00fccke auch nur unkritische 7 Jahre offen.<\/p><\/blockquote>\n Gibt noch Folgekommentare<\/a> mit dem Hinweis, dass die Schwachstelle nur relevant ist, wenn der sh-pkcs11-Helper (z.B. bei Smartcards und Tokens) verwendet wird. Erg\u00e4nzung:<\/strong> Gerade gesehen, dass The Hacker News die obige Schwachstelle und die Aufforderung zum Patchen von Linux-Systemen aktuell in diesem Artikel<\/a> angesprochen hat.<\/p>\n In diesem Kontext f\u00e4llt mir noch das Thema OpenSSL unter Windows und in Microsoft-Produkten ein.\u00a0Aber wie steht es um die Aktualisierung in der Windows-Welt? Alles, was Open Source-Software, gepflegt durch Microsoft, betrifft, verursacht bei mir irgendwie Unwohlsein. Ich ziehe daher mal die zwei Fundsplitter hier zusammen, die zu OpenSSL im Hinterkopf schlummern.<\/p>\n Zum 21. Juli 2023 hat mich ein Blog Leser-Klaus per E-Mail kontaktiert, um auf ein spezielles Thema im Kontext OpenSLL hinzuweisen. Das geht um die Software Microsoft PowerBI Desktop<\/a>, eine Software, mit der sich Unternehmensdaten in visuellen Berichten darstellen lassen. Tools sollten Nutzern auch ohne Programmierkenntnisse erm\u00f6glichen, individuelle Auswertungen zu erstellen. Der Leser schrieb dazu:<\/p>\n Hallo,<\/p>\n ich habe mal wieder etwas Interessantes.<\/p>\n Das Produkt nennt sich \u201eMicrosoft PowerBI Desktop\" und wird \u00fcber den Microsoft Store verteilt\/heruntergeladen.<\/p>\n F\u00fcr \u201eOpen SSL\" gibt es eine Reihe CVE's. Unter \u201eMicrosoft 365 Defender\" wird Open SSL wegen der CVE's als Sicherheitsempfehlung gemeldet.<\/p><\/blockquote>\n Der Leser hatte nachfolgenden Screenshot mit den Sicherheitsempfehlungen des Defender mitgeschickt (auf den Screenshot klicken<\/a>, um das Bild zu vergr\u00f6\u00dfern).<\/p>\n Es werden also eine ganze Reihe bekannter Schwachstellen in OpenSSL ausgewiesen, die dort nicht geschlossen wurden. Der Leser schrieb mir dazu:<\/p>\n Als ich mir das genau angesehen habe, durfte ich feststellen, dass die Ger\u00e4te gar kein Openssl installiert haben, sondern sich die Meldung auf \"Microsoft PowerBI Desktop\" beziehen, das offensichtlich Bibliotheken von Openssl verwendet.<\/p>\n Hier w\u00e4re Microsoft in der Pflicht was zu tun. Macht Microsoft aber nicht, wenn man mal auf das Datum der CVE's achtet.<\/p>\n Vielleicht einen Beitrag wert?<\/p><\/blockquote>\n Das Thema habe ich nun hiermit im Blog \u00f6ffentlich gemacht. F\u00fcr mich war das aber nichts wirklich neues, auch wenn mir der obige Sachverhalt konkret unbekannt war. Aber ich hatte im Beitrag IT-Sicherheit: Alles kaputt?<\/a> mal erw\u00e4hnt, dass man PowerBI nicht mal mit der Kneifzange anfassen solle.<\/p>\n Zudem liegt mir das Thema OpenSSL und die Aktualisierung durch Microsoft noch an einer anderen Stelle \"im Magen\". Es gibt den Beitrag Windows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 3 aus dem Jahr 2018, wo ich Erkenntnisse von Stefan Kanthak in Bezug auf \"langsames patchen von OpenSSL-Schwachstellen durch Microsoft\" in ihrer Software thematisiert hatte.<\/p>\n Von der cURL-Bibliothek ist bekannt, dass Microsoft sich da unendlich Zeit mit dem Patchen von Schwachstellen l\u00e4sst – siehe meine Blog-Beitr\u00e4ge Windows: Microsoft liefert cURL-Bibliothek weiterhin mit Schwachstellen aus (Feb. 2023)<\/a> und Windows und die cURL-Falle; gel\u00f6schte Curl-Instanz macht Windows-Update kaputt<\/a>).<\/p>\n Im Kontext dieser Beitr\u00e4ge hatte Stefan Kanthak mich im M\u00e4rz 2023 angeschrieben und erneut darauf hingewiesen, dass Microsoft mit dem Schlie\u00dfen von OpenSSL-Schwachstellen auf dem Kriegsfu\u00df steht. Nebenbei merkte er an, dass \"auch ICU (IBMs \"International Components for Unicode\") IMMER total veraltet ist\", was hat leider au\u00dfer ihm noch niemand bemeckert habe. Im Kontext des obigen Themas geht es aber um OpenSSL und Stefan Kanthak wies auf diesen Kommentar<\/a> hier im Blog hin:<\/p>\n Hallo zusammen,<\/p>\n anscheinend patcht Microsoft auch bei seinem OpenSSH-Feature in der Windows Servervariante nicht sauber \u00fcber Windows Update.<\/p>\n Die OpenSSH-Version und die LibreSSL-Bibliothek haben auch schon einige Tage hinter sich.<\/p>\n Windows Server 2022 (Microsoft Windows [Version 10.0.20348.1547]) Windows Server 2019 (Microsoft Windows [Version 10.0.17763.4010]) Blog-Leser M.D. best\u00e4tigt in diesem Kommentar<\/a> vom 21. Juli 2023, dass bei ihm ebenfalls OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2<\/em> angezeigt wird. Ich habe mal auf die Schnelle in der Windows Eingabeaufforderung auf einem gepatchten Windows 10 2019 IoT LTSC mit den oben angegebenen ssh-Befehlen gepr\u00fcft, welches OpenSSH-Version installiert ist. Es hat sich an den Versionsnummern nichts ge\u00e4ndert, es wird die Version OpenSSH_for_Windows_7.7p1<\/em> angezeigt.\u00a0 Bereits im Juli 2020 fragt jemand auf Github<\/a>, warum Windows 10 20H1 immer noch mit OpenSSH 7.7p1 ausgeliefert werde. Vielleicht mal das Thema im Auge behalten – oder sehe ich das mit dem Aktualisieren von OpenSSH etwas zu kritisch?<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Ich ziehe mal ein Thema zu einem Sammelbeitrag zusammen, welches schon ein paar Tage bei mir auf der Agenda steht. Vor einigen Tagen wurde bekannt, dass es in OpenSSH die Schwachstelle CVE-2023-38408 gibt. W\u00e4hrend die IT nun auf Patches wartet, … Weiterlesen Zuerst einige Begriffserkl\u00e4rungen. OpenSSL<\/a> ist eine freie Software zur Absicherung von Verbindungen f\u00fcr die Transport Layer Security und umfasst Implementierungen der Netzwerkprotokolle und verschiedener Verschl\u00fcsselungen. Zudem gibt\u00a0 es das Programm openssl f\u00fcr die Kommandozeile zum Beantragen, Erzeugen und Verwalten von Zertifikaten. Die in C geschriebene Basisbibliothek stellt allgemeine kryptographische Funktionen zum Ver- und Entschl\u00fcsseln sowie diverse weitere Werkzeuge bereit. In OpenSSL werden aber immer wieder Schwachstellen \u00f6ffentlich – einige Artikel werden hier im Blog bei einer Suche nach dem Begriff ausgeworfen.<\/p>\n
OpenSSH Schwachstelle CVE-2023-38408<\/h2>\n
OpenSLL in der Microsoft Welt<\/h2>\n
OpenSSL-Schwachstellen in Microsoft PowerBI Desktop wird nicht gefixt<\/h3>\n
![\"OpenSSL-Schwachstellen](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/07\/image-17.png\" "\\"OpenSSL-Schwachstellen")
<\/a><\/p>\nOpenSLL und Updates durch Microsoft<\/h3>\n
\nPS C:\\> ssh -v localhost
\nOpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2<\/p>\n
\nPS C:\\ > ssh -v localhost
\nOpenSSH_for_Windows_7.7p1, LibreSSL 2.6.5<\/p><\/blockquote>\n