Das Sicherheitsunternehmen Qualys hat zwei schwerwiegende Schwachstellen in der weitverbreiteten Verschlüsselungssoftware OpenSSH entdeckt. Die Sicherheitslücken, die als CVE-2025-26465 und CVE-2025-26466 registriert wurden, betreffen verschiedene Versionen der Software und könnten von Angreifern ausgenutzt werden, um verschlüsselte Verbindungen zu kompromittieren oder Dienste lahmzulegen.

Die erste Schwachstelle ermöglicht es Angreifern, sich bei aktivierter VerifyHostKeyDNS-Option zwischen Client und Server zu schalten und die Kommunikation abzufangen. Diese Sicherheitslücke ist besonders kritisch, da sie keine Benutzerinteraktion erfordert und seit Dezember 2014 in allen Versionen ab OpenSSH 6.8p1 vorhanden ist. Auf FreeBSD-Systemen war die anfällige Option von September 2013 bis März 2023 sogar standardmäßig aktiviert.

Die zweite identifizierte Schwachstelle betrifft sowohl Client als auch Server und wurde im August 2023 eingeführt. Sie ermöglicht einen Denial-of-Service-Angriff, bei dem Angreifer durch asymmetrischen Ressourcenverbrauch von Arbeitsspeicher und CPU die Systeme überlasten können. Für Server existieren bereits einige Schutzmechanismen wie LoginGraceTime und MaxStartups, die das Risiko minimieren können.

Die potenziellen Auswirkungen dieser Sicherheitslücken sind erheblich: Erfolgreiche Angriffe könnten zur Überwachung sensibler Daten, zur Manipulation von SSH-Sitzungen und sogar zur kompletten Sperrung von Administrationszugängen führen. Dies könnte nicht nur den normalen Betrieb stören, sondern auch zu Verstößen gegen Datenschutzbestimmungen wie DSGVO oder HIPAA führen. Als Reaktion auf die Entdeckung hat das OpenSSH-Team bereits eine neue Version 9.9p2 veröffentlicht, die beide Sicherheitslücken behebt. Sicherheitsexperten empfehlen dringend, betroffene Systeme schnellstmöglich zu aktualisieren.