|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Allmaehlich fragt man sich, ob vielleicht irgendwann mal jemand Lust hat, Nimda von IIS auf OpenSSH zu portieren. Auch da werden noch massenhaft ungepatchte, veraltete Versionen laufen.
Auch ein $UNICE ist nur so gut wie sein Admin.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ein bisschen zusätzlich abdichten das zeugs...
- firewall so konfigurieren, dass nur bestimmte ips zugriff auf ssh haben
- sshd mit tcp-wrappers support kompilieren...
im sshd_config: AllowUsers user@host
das macht die sache ein wenig schwieriger für den bald kommenden exploit....
mike
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Die Diskussion, ob man nun Theo trauen darf oder nicht, befremdet mich ein bisschen. Wenn andere Leute einem Daemon root-Rechte wegnehmen, finden es alle genial - wenn OpenSSH auf unprivilegierte User umstellt, wird geflamt.
OK, Theos Weg, diese Umstellung durchzudruecken, ist relativ hart. Doch wenn ich sehe, dass die meisten Intallationen noch auf OpenSSH 2.9 basieren, ist ein solches Vorgehen sicher schmerzhaft, aber sinnvoll.
Die Umstellung ist in meinen Augen absolut richtig. SSH (alle Versionen, so auch lsh und die komerziellen SSH 1.x und 2.x) ist ein zu grosses Stueck Software, als dass es einfach so dicht sein kann. Der angekuendigte Sploit ist sicherlich nicht der einzige, der in den 27'000 Zeilen Code steckt. Moeglichst wenig davon als privilegierter User laufenlassen ist das einzig Wahre.
Der Code fabriziert einige Probleme auf nicht BSD-Systemen. Unter Linux kann die verwendete mmap() Routine zu Crahes fuehren - vor allem dann, wenn ein alter (loechriger!) Kernel verwendet wird. Die Debian-Leute haben mit ihrem Patch grossartiges geleistet und den mmap() durch einen SysV IPC shared Memory Block ersetzt. So sollten eigentlich alle Vendors reagieren...
Mir ist es sympathischer, Theo findet ein Loch in einem Code und bringt einen globalen Fix, als dass ich Probleme kriege, die erst nach Wochen tatsaechlich als Bug bekannt werden...
I saw screens of green, red messages too, then came blue, shubidu
And i think to myself, what a wunderful world
|
|
|
|
|
|
|
|
|
|
|
|
|
Sieht schon viel weniger schlimm aus!
Auszug:
A vulnerability exists within the "challenge-response" authentication mechanism in the OpenSSH daemon (sshd). This mechanism, part of the SSH2 protocol, verifies a user's identity by generating a challenge and forcing the user to supply a number of responses. It is possible for a remote attacker to send a specially-crafted reply that triggers an overflow. This can result in a remote denial of service attack on the OpenSSH daemon or a complete remote compromise. The OpenSSH daemon runs with superuser privilege, so remote attackers can gain superuser access by exploiting this vulnerability.
OpenSSH supports the SKEY and BSD_AUTH authentication options. These are compile-time options. At least one of these options must be enabled before the OpenSSH binaries are compiled for the vulnerable condition to be present. OpenBSD 3.0 and later is distributed with BSD_AUTH enabled. The SKEY and BSD_AUTH options are not enabled by default in many distributions. However, if these options are explicitly enabled, that build of OpenSSH may be vulnerable.
ISS X-Force recommends that system administrators disable unused OpenSSH authentication mechanisms. Administrators can remove this vulnerability by disabling the Challenge-Response authentication parameter within the OpenSSH daemon configuration file. This filename and path is typically: /etc/ssh/sshd_config. To disable this parameter, locate the corresponding line and change it to the line below:
ChallengeResponseAuthentication no
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
Bis dann haben die Leute Zeit, ihre Systeme zu patchen, und die einzelnen Vendor von auf OpenSSH basierenden Produkten haben Zeit, den Fix auf ihren Systemen zum Funktionieren zu bringen.
Einen Patsch einspielen geht nicht, es gibt ja keinen. Man soll die neueste Version installieren.
1. Ein Bug wird angekündigt, kein Patch ist verfügbar.
2. Nach einer gewissen Zeit wird der Bug veröffentlicht. Ob ein Bugfix zu diesem Zeitpunkt zur Verfügung steht, ist aus der Ankündigung nicht ersichtlich.
3. 3/4 der Ankündigung befassen sich mit dem Update auf OpenSSH 3.3.
4. Es wird Druck auf die Hersteller anderer Produkte ausgeübt damit diese OpenSSH 3.3 unterstützen.
Ob dieses Vorgehen verantwortungsvoll ist oder nicht darüber kann man streiten. Es schafft aber sicher kein Vertrauen sondern erweckt den Eindruck, dass die Entwickler die Verbreitung von OpenSSH 3.3 stärker vorantreiben wollen.
Ich verstehe gut wieso A.C. nicht sehr erfreut ist über dieses Vorgehen. Es ist einfach "suspekt".
Ich finde priv separation eine gute Sache. Aber mit solchen Mitteln die Verbreitung zu forcieren finde ich nicht sehr nett.
OpenSSh 3.3 läuft aber nicht überall Problemlos. Wieso sollte man dann diese Version installieren?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
"Ob ein Bugfix zu diesem Zeitpunkt zur Verfügung steht, ist aus der Ankündigung nicht ersichtlich."
Es wird kein Bugfix zur Verfügung stehen. Die einzige Möglichkeit, trotz OpenSSH vor diesem Bug sicher zu sein, ist, PrivSep zu aktivieren. Dann kann der Bug nicht ausgenützt werden, um root-Rechte zu erlangen.
"OpenSSh 3.3 läuft aber nicht überall Problemlos. Wieso sollte man dann diese Version installieren?"
Falls man OpenSSH weiterhin verwenden will, und trotzdem nicht jeden Scriptkiddie die Maschine ownen lassen will, muss man laut Theo PrivSet aktivieren.
Es hindert Dich niemand, entweder sofort auf eine andere SSH Variante umzusteigen, oder zu warten, bis ein Bugfix für den Bug geschrieben wurde und auf ältere Versionen angewendet werden kann.
Soweit die Facts. Aber ganz offensichtlich glauben viele Leute, dass Theo diesen Bug nur erfunden hat, um PrivSep zu forcieren, so z.B. auch Du:
"Ich finde priv separation eine gute Sache. Aber mit solchen Mitteln die Verbreitung zu forcieren finde ich nicht sehr nett."
Wenn Du nicht an diesen Bug glaubst, musst Du natürlich auch nicht upgraden.
Falls Du aber glaubst, dass es diesen Bug gibt, und er zur Zeit nur mit PrivSep nicht exploitet werden kann, musst Du mir jetzt mal erklären, wie Theo Deiner Meinung nach gehandelt haben müsste.
PS: Nicht vergessen darfst Du natürlich, dass die Gruppe (ISS), die den Bug gefunden (erfunden?) hat, dieselbe Gruppe ist, die vor zwei Wochen heftig kritisiert wurde, als sie den Apache Chunked Encoding Bug veröffentlichte, ohne den Leuten die Möglichkeit zu geben, das Problem zu fixen.
--
Where do I find the Any Key?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Aber ganz offensichtlich glauben viele Leute, dass Theo diesen Bug nur erfunden hat, um PrivSep zu forcieren, so z.B. auch Du:
Ich glaube sehr wohl das es diesen Bug gibt. Was gegenteiliges habe ich nie behauptet. Wie sonst sollte Theo Details darüber veröffentlichen?
Ich glaube aber auch, das er diesen Bug bewusst ausnützt um die Verbreitung von OpenSSH 3.3 voranzutreiben. Und das ist kein Weg um Vertrauen zu schaffen.
Falls Du aber glaubst, dass es diesen Bug gibt, und er zur Zeit nur mit PrivSep nicht exploitet werden kann, musst Du mir jetzt mal erklären, wie Theo Deiner Meinung nach gehandelt haben müsste.
Ich bin der Meinung das man Bugs patchen sollte. Die neueste Version zu installieren empfinde ich als den falschen Weg.
Da das Problem mit OpenSSH 3.3 nicht mehr besteht, besser gesagt, nicht mehr auszunützen ist, hätte er den Bug gleich bekanntgeben können. So hätten Hersteller von Produkten die auf eine ältere Version von OpenSSH basieren einen eigenen Patch entwickeln können. Auch am Montag wird es noch unzählige Server geben die den Versionswechsel auf 3.3 nicht vollzogen haben.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
"Ich bin der Meinung das man Bugs patchen sollte."
Einverstanden. Und ich hoff auch, dass der Bug in OpenSSH noch geflickt wird! Offensichtlich hatten aber die OpenSSH Entwickler das Gefühl, dass sie den Bug nicht innert nützlicher Frist behen können, sonst hätten sie das gemacht, anstatt alle zum Upgraden zu zwingen.
Falls das nicht stimmt, und der Bug wirklich ganz einfach zum Flicken gewesen wäre, dann gehe ich mit Dir einig, dass Theo falsch gehandelt hat.
" Da das Problem mit OpenSSH 3.3 nicht mehr besteht, besser gesagt, nicht mehr auszunützen ist, hätte er den Bug gleich bekanntgeben können."
Dann wären einige Leute im Regen gestanden, z.B. alle, die Debian einsetzen. Dort kann man AFAIK 3.3 nicht out of the box einsetzen, da die Distribution noch auf dem 2.2er Kernel basiert.
"Auch am Montag wird es noch unzählige Server geben die den Versionswechsel auf 3.3 nicht vollzogen haben."
Ja, leider. Aber die meisten sind dann selbst schuld, da ihre Distribution schon ein gefixtes Package (und sei es nur ein Upgrade) bereitgestellt hat.
--
Where do I find the Any Key?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Finde ich auch. Solche Geschichten schaffen kein Vertrauen.
|
|
|
|
|
|
