Es betrifft "nur" RHEL bzw. CentOS. Dämlicherweise hilft ein Upgrade nicht, da auch die letzte Version (gecheckt bei CentOS 5.3) noch die betroffene OpenSSH-Version 4.3 enthält.
Wer einen Server mit RHEL oder CentOS betreibt und den sshd nicht vorübergehend abschalten kann (z. B. weil kein KVM-/Remote Console Zugriff besteht), hat drei Möglichkeiten:
- OpenSSH hier herunterladen (darauf achten, eine portable Version zu nehmen - also z. B. die aktuelle 5.2p1) und selbst kompilieren
- Den OpenSSHd von RHEL/CentOS beibehalten, aber den Zugang per Portknocking verbarrikadieren (vorsicht dabei, sperrt Euch nicht selber aus!)
- Nix tun und beten, dass es nur ein Gerücht bleibt oder es zumindest den eigenen Server nicht erwischt.
Noch habe ich sie nicht gesehen, aber ich bin sicher, in kürze werden aktuellere OpenSSH-Pakete für RHEL und CentOS auf diversen Seiten zum Download angeboten. Bei diesen Downloads würde ich allerdings zu doppelter und dreifacher Vorsicht raten - es ist nicht auszuschließen, dass unter diesen Third Party Packages auch welche stecken, die eine Backdoor fertig eingebaut haben.