OpenSSH: Komma-Bug in Zertifikaten ermöglichte 15 Jahre lang Root-Zugriff

Zusammenfassung

Eine über 15 Jahre hinweg unentdeckte Schwachstelle in OpenSSH konnte Angreifern vollen Root-Zugriff auf Server verschaffen. Das berichtet die Datensicherheitsfirma Cyera. Der Fehler, geführt als CVE-2026-35414 mit einem CVSS-Wert von 8.1, betrifft sämtliche OpenSSH-Versionen, die in den vergangenen 15 Jahren veröffentlicht wurden. Im Kern handelt es sich laut Cyera um eine fehlerhafte Verarbeitung der Option für authorized_keys-Principals in bestimmten Konstellationen, in denen Zertifizierungsstellen (CA) Kommazeichen verwenden. Entscheidend ist, dass ein Komma im Principal-Namen eines SSH-Zertifikats die Zugriffskontrolle von OpenSSH aushebelt: Nutzer können sich dadurch als root authentifizieren, sofern sie über ein gültiges Zertifikat einer vertrauenswürdigen CA verfügen. Besonders heikel macht die Lücke ein zweiter Umstand – der Angriff hinterlässt keine Spuren. Da der Server die Anmeldung als legitim einstuft, wird kein Fehlschlag protokolliert, weshalb eine log-basierte Erkennung nach Angaben von Cyera kaum zuverlässig funktioniert. Behoben wurde das Problem mit OpenSSH 10.3.

Der eigentliche Defekt geht auf einen Fehler bei der Wiederverwendung von Code zurück. Wie Cyera gegenüber SecurityWeek erklärte, führte dieser dazu, dass ein einfaches Komma in einem Zertifikats-Principal vom Parser versehentlich als Listentrenner interpretiert wurde – wodurch eine Identität mit geringen Rechten zu einem Zugangsnachweis für root wurde.

Technisch betrifft CVE-2026-35414 das Zusammenspiel zweier Elemente: der Principals-Liste, die festlegt, unter welchen Benutzernamen sich ein Zertifikatsinhaber anmelden darf, sowie der authorized_keys-Principals, über die Server entscheiden, welchen Zertifikaten sie vertrauen.

Der Kern des Problems liegt in einer Funktion, die eigentlich für die Aushandlung von Chiffren und Schlüsselaustausch zuständig ist. Sie vergleicht kommagetrennte Listen, zerlegt die Eingabe am Komma und gewährt die Authentifizierung, sobald einer der Teile mit dem Wert des Principals übereinstimmt. Enthält ein Zertifikat etwa den Principal „deploy,root", trennt OpenSSH die Angabe am Komma auf und schaltet vollen Root-Zugriff frei.

Eine zweite Funktion, die ebenfalls die Autorisierung prüft, behandelt denselben Principal zwar als einzelne Zeichenkette und verweigert den Zugriff. Stimmt die Zeichenkette jedoch überein, sorgen die anschließend ausgeführten Optionen dafür, dass die Principal-Validierung vollständig übersprungen wird.

Wie leicht sich die Lücke ausnutzen lässt, schildert Cyera anhand eines eigenen Tests: Man habe ein Zertifikat mit einem wörtlichen Komma im Principal-Feld erstellt, es auf einen Testserver gerichtet und root-Rechte erhalten. „Das Ganze dauerte vom Eindruck ‚das sieht falsch aus’ bis zu einem funktionierenden Exploit etwa zwanzig Minuten", so das Unternehmen.

Bei erfolgreicher Ausnutzung könnte ein Angreifer laut Cyera Root-Zugriff auf sämtliche Server einer Organisation erlangen, sofern das anfällige Protokoll dort im Einsatz ist.

Behoben wurde CVE-2026-35414 Anfang April mit OpenSSH 10.3. Organisationen wird geraten, ihre Umgebungen zu prüfen und so rasch wie möglich auf eine gepatchte Version zu aktualisieren.

OpenSSH: Komma-Bug in Zertifikaten ermöglichte 15 Jahre lang Root-Zugriff

Ähnliche Artikel

Neueste Artikel