War bereits in der allerersten Version der Software enthalten - Angreifer konnten Nutzernamen raten

Die Forscher von Qualys haben eine 19 Jahre alte Lücke in OpenSSH gefunden. Über diese können Angreifer herausfinden, ob es einen gewissen Nutzernamen auf einem Server gibt.

Dieses Wissen könnte man dann als Ausgangspunkt für einen Brute-Force-Attacke nutzen, bei der zahllose Passwörter ausprobiert werden.

Das Alter der Lücke bedeutet, dass sie bereits in der allerersten Version von OpenSSH zu finden war, die im Jahr 1999 erschienen ist. Seitdem hat sich die Software weit verbreitet und gehört in vielerlei Bereichen zu den Standard-Tools - vom Server bis zum Embedded-Bereich.