» »

OpenSSH client bug CVE-0216-0778

OpenSSH client bug CVE-0216-0778

jukoz ::

http://undeadly.org/cgi?action=article&...

"SECURITY: ssh(1): The OpenSSH client code between 5.4 and 7.1
contains experimential support for resuming SSH-connections (roaming).

The matching server code has never been shipped, but the client
code was enabled by default and could be tricked by a malicious
server into leaking client memory to the server, including private
client user keys.

The authentication of the server host key prevents exploitation
by a man-in-the-middle, so this information leak is restricted
to connections to malicious or compromised servers.

MITIGATION: For OpenSSH >= 5.4 the vulnerable code in the client
can be completely disabled by adding 'UseRoaming no' to the gobal
ssh_config(5) file, or to user configuration in ~/.ssh/config,
or by passing -oUseRoaming=no on the command line."
  • spremenilo: jukoz ()

SeMiNeSanja ::

Sicer ne uporabljam OpenSSH, ampak vseeno dobro vedeti....

jukoz ::

Vsakdo uporablja OpenSSH. Pa magari ga ima na pri teti doma na routerju. Večina Linux distribucij ga uporablja (če ne vse).

Še link na Arstechnico:
http://arstechnica.com/security/2016/01...

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

Govor je o OpenSSH KLIENTU in ne o strežniku. Strežnik je precej bolj pogosto implementiran, kot sam klient, praktično v vsaki napravi, ki jo lahko upravljaš preko CLI in izpolnjuje vsaj minimalne varnostne standarde.

Seveda pa imaš klienta v vsaki Linux distribuciji 'po defaultu'.

Ampak kot rečeno, ga jaz ne uporabljam, ker imam drugo SSH server in klient rešitev na mojih Windows in Linux mašinah (ki izvira iz F-Secure veje SSH implementacije in tako -vsaj mislim- ni prizadeta s tem bugom).

jype ::

jukoz> Vsakdo uporablja OpenSSH. Pa magari ga ima na pri teti doma na routerju.

Ne odjemalca.

Zgodovina sprememb…

  • spremenilo: jype ()

jukoz ::

Ja, KLIENTA tudi. Med drugim sem ga našu tudi na QNAP NASu.

jype ::

Ja, ampak ga nihče ne uporablja.

pegasus ::

Če prav razumem kar sem na hitro prebral, izgleda tole aktualno samo če se vsak dan sshjate na neznane shady mašine. Ali če po webu/mailu poklikate kaj, kar vam zna pognat lokalni ssh client na način, da se hoče povezat na shady ssh server ...
Torej brez panike. Paniko bi zagnal bolj zaradi dejstva, da je ta koda ležala v openssh repozitoriju in ni nihče trznil leta.

SeMiNeSanja ::

pegasus je izjavil:

Če prav razumem kar sem na hitro prebral, izgleda tole aktualno samo če se vsak dan sshjate na neznane shady mašine. Ali če po webu/mailu poklikate kaj, kar vam zna pognat lokalni ssh client na način, da se hoče povezat na shady ssh server ...
Torej brez panike. Paniko bi zagnal bolj zaradi dejstva, da je ta koda ležala v openssh repozitoriju in ni nihče trznil leta.

Drži - tako sem tudi jaz razumel, da se moraš povezat na hudobni strežnik, da bi zašel v težave. Če se zgolj na 'zaupanja vredne' strežnike povezuješ, zadeva ni kritična (razen, če te ne zavedejo, kot si že navedel).

Je pa baje še en buffer overflow tudi najden, tako da se gre v bistvu za dve težavici:

Qualys’ detailed post on two OpenSSH vulnerabilities – Qualys
OpenBSD’s journal on OpenSSH flaws and update – Undeadly.org
Good article summarizing the OpenSSH vulnerabilities – ZDNet

pegasus ::

Kar se ljudstva tiče, zna bit to veliko bolj nadležen problem.

SeMiNeSanja ::

Nič ne piše, da bi bil že kakšen exploit 'in the wild', tako da morda še ni tako hudo. Samo upam, da bo zadeva na čim več platformah preko autoupdate-ov popatchana (pa še tega marsikdo nima vključenega...grrrrrrrrrr da bi jih tepel!)

jype ::

OpenSSH odjemalec te še vedno prej vpraša, če je to res pravi fingerprint strežnikovega ključa, tako da če jih preverjaš, se nimaš česa bat :)

SeMiNeSanja ::

jype je izjavil:

OpenSSH odjemalec te še vedno prej vpraša, če je to res pravi fingerprint strežnikovega ključa, tako da če jih preverjaš, se nimaš česa bat :)

Bolj malo jih poznam, ki bi si najprej izpisali strežnikov fingerprint, in ga potem primerjali pri prvem poskusu povezovanja.

Nekako v osnovi izhajaš iz predpostavke, da se prvič povezuješ na 'ta pravi' strežnik. Ker se fingerprint (vsaj pri meni, predvidevam pa da tudi pri drugih implementacijah) shrani, se kasneje samodejno, v ozadju izvaja primerjava s shranjenim fingerprintom. Šele če se ta ne ujema, te vpraša, če hočeš sprejeti novi fingerprint.

Nisem pa prepričan (bi moral še 1x iti prebirati podrobnosti o 'bugu'), če ne nastopi težava že prej, kot pa se ti pojavi vprašanje, če bi novi fingerprint 'požegnal'.

Problem bi lahko bil večji, če bi nekdo že vdrl v omrežje in kompromitiral 'zaupanja vreden' strežnik z zlonamerno kodo. Ampak v tem primeru imaš že takointako probleme, verjetno celo večje od teh s SSH klienti....

jype ::

SeMiNeSanja> Bolj malo jih poznam, ki bi si najprej izpisali strežnikov fingerprint, in ga potem primerjali pri prvem poskusu povezovanja.

Temu je namenjen dostavek ":)", ki si ga spregledal.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

ESET odkril 21 kosov malwara za Linux (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23143660 (37510) MrStein
»

Microsoft dodal OpenSSH v Windows

Oddelek: Novice / Operacijski sistemi
2310217 (6853) pegasus
»

Odkrita resna ranljivost v SSL in TLS protokolih

Oddelek: Novice / Varnost
104699 (3668) BlueRunner
»

OpenSSH za Windows in certifikat

Oddelek: Omrežja in internet
62223 (2223) Poldi112

Več podobnih tem