Der amerikanische Security-Anbieter Qualys meldet eine der "bedeutensten Entdeckungen von Sicherheitslücken seit Jahren". Die "Regresshion" genannte Lücke (CVE-2024-6387) erlaubt Angreifern den Fernzugriff und die Ausführung beliebigen Codes "mit den höchsten Privilegien". Qualys vergleicht Regresshion mit der Javalücke Log4shell, über die viel Schaden angerichtet worden ist.

Besonders kritisch sei Regresshion für Unternehmen, die "sich bei der Verwaltung von Remote-Servern stark auf OpenSSH verlassen", erklärt Qualys. Der Anbieter schreibt von 14 Millionen potenziell verwundbare OpenSSH-Serverinstanzen.

Die Lücke tauchte erstmals im Jahr 2006 auf und sei von den Sicher­heits­forschern "wiederbelebt" worden, heisst es bei 'Heise'. Daher rührt auch der Name: Von Regression spricht man in der Softwareentwicklung, wenn bereits behobene Fehler durch Änderungen am Code wieder auftauchen.

Betroffen sind Qualys zufolge folgende OpenSSH-Versionen:

Die Ausnützung dieser Lücke soll komplex sein, heisst es in verschiedenen Medienberichten und Einschätzungen von Experten. Es könne "mehr als acht Stunden, aber weniger als eine Woche dauern, bis Angreifer Root-Rechte erlangen", weiss 'Heise'. Offenbar sind ausserdem aktuell nur Glibc-basierte Systeme erfolgreich angreifbar. Die Lücken sofort zu patchen, ist wohl dennoch eine gute Idee.