Korrekt konfigurierte Linux-Systeme sind für die Sicherheitslücken CVE-2025-26465 und CVE-2025-26466 nicht anfällig, insbesondere wenn bestimmte SSH-Optionen entsprechend eingestellt sind.
CVE-2025-26465 betrifft die VerifyHostKeyDNS-Funktion im OpenSSH-Client. Falls diese Option aktiviert ist, kann ein Angreifer unter bestimmten Umständen die Identitätsprüfung des Servers umgehen und sich als legitimer Server ausgeben, was zu Man-in-the-Middle-Angriffen führen kann. In richtlinienkonform konfigurierten Systemen ist diese Option standardmäßig deaktiviert (VerifyHostKeyDNS no), wodurch das Risiko dieser spezifischen Schwachstelle nicht vorhanden ist.
CVE-2025-26466 bezieht sich auf eine Denial-of-Service-Schwachstelle im OpenSSH-Server, die durch eine hohe Anzahl gleichzeitiger, nicht authentifizierter Verbindungen ausgenutzt werden kann. Durch die bei managedhosting.de angewandte Standardkonfiguration der folgenden Optionen wird dieses Risiko ausgeschlossen:
MaxStartups 10:30:100: Diese Einstellung begrenzt die maximale Anzahl gleichzeitiger, nicht authentifizierter Verbindungen zum SSH-Daemon. Zusätzliche Verbindungen werden abgelehnt, bis eine Authentifizierung erfolgreich ist oder die LoginGraceTime für eine Verbindung abläuft. Die Standardeinstellung ist "10:30:100". Die Parameter haben dabei im einzelnen folgende Bedeutung: Bis zu 10 Verbindungen werden ohne Einschränkung akzeptiert. Ab der 11. Verbindung beginnt der Server, 30% der neuen Verbindungen zufällig zu verwerfen. Ab der 101. Verbindung wird jede neue Verbindung konsequent abgelehnt.
LoginGraceTime 1m: Diese Option legt fest, wie lange ein Benutzer Zeit hat, sich erfolgreich zu authentifizieren, bevor die Verbindung geschlossen wird. Eine kürzere LoginGraceTime reduziert die Anzahl offener, nicht authentifizierter Verbindungen und verringert somit die Angriffsfläche für Denial-of-Service-Angriffe.
Die Kombination der Konfigurationsparameter MaxStartups 10:30:100 und LoginGraceTime 1m verhindert die Überlastung durch die mögliche Ausnutzung der Sicherheitslücke aus CVE-2025-26466 zuverlässig.
Beide Sicherheitslücken sind keine Remote-Code-Execution-Fehler. Das heißt, ein Angreifer kann nicht direkt Schadcode ausführen, sondern müsste erst eine Reihe von weiteren Hürden überwinden, um das betroffene System zu kompromittieren. Besonders bei CVE-2025-26466 sind die Angriffe auf Denial-of-Service (DoS) beschränkt, was unangenehm, aber nicht kritisch für die Sicherheit ist - besonders, wenn neben den o.g. SSH-Konfigurationen weitere Maßnahmen wie z. Bsp. Rate-Limits konfiguriert sind. Von managedhosting.de betriebene Systeme exponieren den Zugriff per SSH grundsätzlich nicht ungeschützt in das öffentliche Internet. Ist das auf Kundenwunsch doch der Fall, ist der Zugriff durch weitere Sicherheitsmaßnahmen wie z. Bsp. dynamische ACLs, Rate-Limits und Zugriffsbeschränkungen durch GeoIP zusätzlich abgesichert.
Unserer Einschätzung nach, ist die Auswirkung dieser Sicherheitslücken im täglichen Einsatz auf der von managedhosting.de betriebenen Infrastruktur nicht kritisch. Unabhängig davon werden wir betroffene Komponenten entsprechend den vereinbarten SLAs mit Updates versehen, sobald diese seitens der Herstellern verfügbar sind.
Quellen und weiterführende Informationen:
https://www.qualys.com/2025/02/18/openssh-mitm-dos.txt
https://access.redhat.com/security/cve/CVE-2025-26465
https://access.redhat.com/security/cve/CVE-2025-26466
