Security des tages

Hl. scheiße! Nutzt hier jemand die libssh auf einem sörver? Gut, dass die nicht so häufig benutzt wird:

Wer die SSH-Programmbibliothek libssh auf Serverseite nutzt, sollte diese zügig updaten. Eine kritische Sicherheitslücke erlaubt Angreifern, den Authentifizierungsprozesses zu umgehen, sprich: den Serverzugriff ohne Zugangsdaten

Das ist ein verdammter GAU!

Übrigens: der beliebte openssh-sörver nutzt die libssh nicht. Das gleiche gilt für die meisten anderen beliebten sörveranwendungen, hier mal eine kleine auswahl (das hätte heise eigentlich machen sollen, aber heise macht leider seit jahren lieber clickbait):

$ function wlib() { ldd `which "$1" | sed 1q` | grep so | sed -e 's/^\s*//' -e 's/\s.*$//' ; }
$ wlib apache2
linux-vdso.so.1
libpcre.so.3
libaprutil-1.so.0
libapr-1.so.0
libpthread.so.0
libc.so.6
libcrypt.so.1
libexpat.so.1
libuuid.so.1
libdl.so.2
/lib64/ld-linux-x86-64.so.2
$ wlib exim4
linux-vdso.so.1
libresolv.so.2
libnsl.so.1
libcrypt.so.1
libm.so.6
libdl.so.2
libdb-5.3.so
libgnutls.so.30
libpcre.so.3
libc.so.6
/lib64/ld-linux-x86-64.so.2
libpthread.so.0
libz.so.1
libp11-kit.so.0
libidn2.so.0
libunistring.so.2
libtasn1.so.6
libnettle.so.6
libhogweed.so.4
libgmp.so.10
libffi.so.6
$ wlib mysqld
linux-vdso.so.1
libaio.so.1
liblz4.so.1
libnuma.so.1
libwrap.so.0
libcrypt.so.1
libdl.so.2
libz.so.1
librt.so.1
libpthread.so.0
libstdc++.so.6
libm.so.6
libgcc_s.so.1
libc.so.6
/lib64/ld-linux-x86-64.so.2
libnsl.so.1
$ _

Bei den meisten menschen dürfte also kein grund zur panik bestehen. Wie man schnell herausbekommt, welche libs ein binärprogramm verwendet, kann einfach so übernommen werden — es sieht so kompliziert aus, weil ich die ausgabe noch ein bisschen aufgehübscht und von unnötigen angaben befreit habe.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.