OpenSSH client bug CVE-0216-0778

http://undeadly.org/cgi?action=article&...

"SECURITY: ssh(1): The OpenSSH client code between 5.4 and 7.1
contains experimential support for resuming SSH-connections (roaming).

The matching server code has never been shipped, but the client
code was enabled by default and could be tricked by a malicious
server into leaking client memory to the server, including private
client user keys.

The authentication of the server host key prevents exploitation
by a man-in-the-middle, so this information leak is restricted
to connections to malicious or compromised servers.

MITIGATION: For OpenSSH >= 5.4 the vulnerable code in the client
can be completely disabled by adding 'UseRoaming no' to the gobal
ssh_config(5) file, or to user configuration in ~/.ssh/config,
or by passing -oUseRoaming=no on the command line."

Vsakdo uporablja OpenSSH. Pa magari ga ima na pri teti doma na routerju. Večina Linux distribucij ga uporablja (če ne vse).

Še link na Arstechnico:
http://arstechnica.com/security/2016/01...

jukoz> Vsakdo uporablja OpenSSH. Pa magari ga ima na pri teti doma na routerju.

Ne odjemalca.

Ja, ampak ga nihče ne uporablja.

pegasus je 15. jan 2016 ob 09:24 izjavil:

Če prav razumem kar sem na hitro prebral, izgleda tole aktualno samo če se vsak dan sshjate na neznane shady mašine. Ali če po webu/mailu poklikate kaj, kar vam zna pognat lokalni ssh client na način, da se hoče povezat na shady ssh server ...
Torej brez panike. Paniko bi zagnal bolj zaradi dejstva, da je ta koda ležala v openssh repozitoriju in ni nihče trznil leta.

Drži - tako sem tudi jaz razumel, da se moraš povezat na hudobni strežnik, da bi zašel v težave. Če se zgolj na 'zaupanja vredne' strežnike povezuješ, zadeva ni kritična (razen, če te ne zavedejo, kot si že navedel).

Je pa baje še en buffer overflow tudi najden, tako da se gre v bistvu za dve težavici:

Qualys’ detailed post on two OpenSSH vulnerabilities – Qualys
OpenBSD’s journal on OpenSSH flaws and update – Undeadly.org
Good article summarizing the OpenSSH vulnerabilities – ZDNet

Nič ne piše, da bi bil že kakšen exploit 'in the wild', tako da morda še ni tako hudo. Samo upam, da bo zadeva na čim več platformah preko autoupdate-ov popatchana (pa še tega marsikdo nima vključenega...grrrrrrrrrr da bi jih tepel!)

jype je 15. jan 2016 ob 10:04 izjavil:

OpenSSH odjemalec te še vedno prej vpraša, če je to res pravi fingerprint strežnikovega ključa, tako da če jih preverjaš, se nimaš česa bat :)

Bolj malo jih poznam, ki bi si najprej izpisali strežnikov fingerprint, in ga potem primerjali pri prvem poskusu povezovanja.

Nekako v osnovi izhajaš iz predpostavke, da se prvič povezuješ na 'ta pravi' strežnik. Ker se fingerprint (vsaj pri meni, predvidevam pa da tudi pri drugih implementacijah) shrani, se kasneje samodejno, v ozadju izvaja primerjava s shranjenim fingerprintom. Šele če se ta ne ujema, te vpraša, če hočeš sprejeti novi fingerprint.

Nisem pa prepričan (bi moral še 1x iti prebirati podrobnosti o 'bugu'), če ne nastopi težava že prej, kot pa se ti pojavi vprašanje, če bi novi fingerprint 'požegnal'.

Problem bi lahko bil večji, če bi nekdo že vdrl v omrežje in kompromitiral 'zaupanja vreden' strežnik z zlonamerno kodo. Ampak v tem primeru imaš že takointako probleme, verjetno celo večje od teh s SSH klienti....