SUSE Virtualization: Kritische SSH-Lücke im interaktiven Installer entdeckt

In SUSE Virtualization (Harvester) wurde eine kritische Sicherheitslücke identifiziert, die unautorisierten SSH-Zugriff auf Hosts ermöglicht. Betroffen sind die Versionen 1.5.x und 1.6.x, sofern der interaktive Installer zur Erstellung eines neuen Clusters oder zum Hinzufügen weiterer Hosts genutzt wird. Die Schwachstelle wird unter CVE-2025-62877 geführt und mit einem CVSS-Score von 9.8 als kritisch eingestuft.

Ursache ist ein im Betriebssystem vorhandenes Standard-Administratorkennwort, das eigentlich nur für Out-of-Band-Management vorgesehen ist. Der interaktive Installer aktiviert jedoch bereits die Netzwerkschnittstellen, bevor dieses Default-Passwort geändert wird. In diesem Zeitfenster können Angreifer das bekannte Passwort ausnutzen und sich ohne Authentifizierung per SSH Zugriff auf den Host verschaffen.

Nicht betroffen sind Installationen, die über PXE-Boot mit einer vordefinierten Konfigurationsdatei durchgeführt wurden. Ein Patch ist erst ab SUSE Virtualization 1.7.0 verfügbar. Frühere Versionen erhalten keine Korrektur.

SUSE empfiehlt dringend ein Upgrade auf Version 1.7.x oder alternativ den Einsatz von PXE-Installationen mit vorab gesetztem sicheren Passwort. Zusätzlich sollten während der Installation Netzwerkzugriffe, insbesondere auf Port 22, strikt eingeschränkt werden.

Related Posts

EU-Kommission plant verbindliches Huawei-Verbot im Cybersecurity Act

Laut einem Bericht von Golem erwägt die EU-Kommission, den Einsatz chinesischer Technologieanbieter wie Huawei und ZTE in kritischen Infrastrukturen künftig verpflichtend zu untersagen. Hintergrund ist eine geplante Überarbeitung des Cybersecurity Acts, die am 14. Januar 2026 vorgestellt werden soll. Damit würden die bislang freiwilligen Maßnahmen der sogenannten ICT Toolbox verbindlich umgesetzt, die den Ausschluss von Technik aus als nicht vertrauenswürdig eingestuften Staaten vorsieht.

Read More

DATEV-Störung führt zu möglichem DSGVO-Vorfall bei Lohnabrechnungen

Beim IT-Dienstleister DATEV kam es am 8. und 9. Januar 2026 zu einer schwerwiegenden Störung im Umfeld der Lohnabrechnung. Wie der IT-Blog Borncity berichtet, war insbesondere das Modul LODAS betroffen. Zwar konnte die technische Störung offenbar per Workaround eingedämmt werden, dennoch scheint es dabei zu gravierenden Folgeproblemen gekommen zu sein.

Read More

Coolify: Drei kritische Schwachstellen ermöglichen Root-RCE und SSH-Schlüsseldiebstahl

Am 5. Januar 2026 wurden drei schwerwiegende Sicherheitslücken in der Self-Hosting-Plattform Coolify veröffentlicht, die es niedrig privilegierten Nutzern ermöglichen, vollständige Systemkompromittierungen zu erreichen. Die Schwachstellen sind unter den Kennungen CVE-2025-64419, CVE-2025-64420 und CVE-2025-64424 registriert und betreffen mehrere Kernfunktionen der Plattform.

Read More