Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 26.6.2002

OpenSSH-etäyhteysohjelmistossa tietoturvareikä

Avoimeen lähdekoodiin perustuvasta OpenSSH-etäyhteysohjelmistosta on löytynyt tietoturvareikä, jonka voi välttää päivittämällä ohjelmiston kesäkuun 21. päivä julkaistuun 3.3-versioon ja laittamalla UsePrivilegeSeparation-asetuksen päälle. OpenSSH:sta on lähiaikoina tulossa versio 3.4, jossa tietoturvareikä on paikattu. Tietoturva-aukon luonteesta ei vielä ole julkaistu tarkempaa tietoa, eikä todennäköisesti julkaistakaan ennen korjatun version valmistumista. Monet Linux-levitysversioiden valmistajat ovat jo julkaisseet omat ohjeensa toimenpiteistä tietoturva-aukon välttämiseksi.

Lue juttu oma, 26.6.2002 00:01. Lähde: deadly.org

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 15 uutta / 15 )
pistettä.
Näytä vain kommentit joilla on vähintään
heko privsep
heko, 26.6.2002 03:33:22		 Pisteet: +2
Pari täsmennystä:

Avoimeen lähdekoodiin perustuvasta OpenSSH-etäyhteysohjelmistosta on löytynyt tietoturvareikä, jonka voi välttää päivittämällä ohjelmiston kesäkuun 21. päivä julkaistuun 3.3-versioon ja laittamalla UsePrivilegeSeparation-asetuksen päälle
- Tietoturvareikää ei voi "välttää" privsepillä. Sen vaikutukset ovat vähäisemmät mutta eivät suinkaan mitättömät (ilman privsepiä remote root) privsepillä.
- privsep ehkäisee tämän reiän lisäksi mahdollisia tulevia. http://www.citi.umich.edu/u/provos/ssh/privsep.htm... kertoo lisää.
- "3.3p1" on eksaktimpi versionumero, koska useimmat käyttävät nimenomaan ns. portable-versiota (joka toimii esim. Linuxeissa, Solaritsassa, jne.) eivätkä "mainstream"-versiota (joka toimii vain Open- ja NetBSD:ssä).
- tunnetuimmat ongelmat privsepin kanssa liittyvät PAMiin (pluggable authentication method) solaris- ja linux-alustoilla. joissain linux-järjestelmissä jotkut (harvinaisemmat) PAM-konfiguraatiot saattavat mennä rikki privsepin kanssa.
- esim. punahatun päivittäminen sujuu kohtuuhelposti joko kääntämällä openssh:n omasta tar-pallosta http://openssh.com/portable.html> rpm, tai päivittämällä rawhidesta löytyvä srpm 3.3:een. en tietenkään väitä että tämä on jokaiselle toimiva ratkaisu, mutta ehkäpä edes jollekulle.

..

Mielenkiintoinen on muuten ero siinä miten ISS on hoitanut tästä reiästä uutisointia verrattuna Apachen vastaavaan.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: privsep
Anonyymi kommentoija, 26.6.2002 10:33:51		 Pisteet: +1
im. punahatun päivittäminen sujuu kohtuuhelposti joko kääntämällä openssh:n omasta tar-pallosta http://openssh.com/portable.html> rpm, tai päivittämällä rawhidesta löytyvä srpm 3.3:een. en tietenkään väitä että tämä on jokaiselle toimiva ratkaisu, mutta ehkäpä edes jollekulle.
Täältä löytyy 3.3p1 binääripaketit Red Hatille:

ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable...

Ainakaan RH 7.2:ssa UsePrivilegeSeparation ei aiheuttanut ongelmia.
Re: privsep
Anonyymi kommentoija, 26.6.2002 13:00:49		 Pisteet: 0
Täältä löytyy 3.3p1 binääripaketit Red Hatille: ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable...
Hmm, mites tuo toimiii RH6.2:ssa? Vanhempikaan openssh ei enää noin vanhassa distrossa kääntynyt (liian vanha openssl -kirjasto)
Jaana Re: privsep
Jaana, 26.6.2002 13:10:51		 Pisteet: +1
Täältä löytyy 3.3p1 binääripaketit Red Hatille: ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable...
Hmm, mites tuo toimiii RH6.2:ssa? Vanhempikaan openssh ei enää noin vanhassa distrossa kääntynyt (liian vanha openssl -kirjasto)
Itse totesin, että omassa 6.2:ssa ei openssl:ää käyttäviä ohjelmia ollut montaa, joten poistin koko rpm:n riippuvuuksineen ja käänsin sekä ssl:n ja ssh:n sorsista. Parempi vaihtoehto olisi ehkä kaivaa jostain openssl:n srpm 6.2:lle. Btw, compression täytyy ottaa pois käytöstä 2.2-kerneliä käytettäessä, ei toimi tuo PrivSep mmap bugin vuoksi.
anger Re: privsep
anger, 26.6.2002 17:06:04		 Pisteet: 0
- Tietoturvareikää ei voi "välttää" privsepillä. Sen vaikutukset ovat vähäisemmät mutta eivät suinkaan mitättömät (ilman privsepiä remote root) privsepillä. - privsep ehkäisee tämän reiän lisäksi mahdollisia tulevia. http://www.citi.umich.edu/u/provos/ssh/privsep.htm... kertoo lisää.
Ja niille, jotka käyttävät ssh:ta kotona vinkiksi, että kannattaa ehdottomasti muokata palomuuriaan siten, että omalle koneelleen pääsee ottamaan ssh-yhteyttä vain tietyistä vieraista koneista. Ellei jopa tehdä niin radikaali ratkaisu, että poistaa ssh-palvelimen käytöstä, ellei sitä oikeasti tarvitse.

Tämä ehkäisee myös huomattavasti uusien mahdollisten reikien hyödyntämisen lisäksi myös sitä hiukan epätodennäköistä vaihtoehtoakin, että joku sattuisi arvaamaan käyttäjän salasanan.
Re: privsep
Anonyymi kommentoija, 26.6.2002 17:17:46		 Pisteet: 0
Ja niille, jotka käyttävät ssh:ta kotona vinkiksi, että kannattaa ehdottomasti muokata palomuuriaan siten, että omalle koneelleen pääsee ottamaan ssh-yhteyttä vain tietyistä vieraista koneista. Ellei jopa tehdä niin radikaali ratkaisu, että poistaa ssh-palvelimen käytöstä, ellei sitä oikeasti tarvitse.
Eiköhän kaikki palvelut mitä ei tarvitse kannata ottaa pois käytöstä. Ja palomuuri niin tiukalle, että kaikki tuleva liikenne tiputetaan, jos sitä ei ole erikseen palomuurissa hyväksytty. Säästyy paljolta, tosin edelleen on hyvä päivittää sovelluksia. Eikä pidä myöskään hyväksyä etäyhteyksiä root-tunnuksella.
aki Re: privsep
aki, 26.6.2002 12:31:27		 Pisteet: +1
.. Mielenkiintoinen on muuten ero siinä miten ISS on hoitanut tästä reiästä uutisointia verrattuna Apachen vastaavaan.
Niinpä, nyt kun ei ole toista tietoturvatutkijaa reiän perässä, vaan ISS saa kaiken kunnian. Taas nähtiin, että ei nämä disclosure-policyt paljoa sido, vaan niitä väännetään sopiviksi aina tarpeen vaatiessa.

Saas nähdä, tuleeko tästä reiästä yhtä paha kuin crc32-reiästä, scanssh:lla tehtyjen tilastojen mukaan jopa 30% ssh-palvelimista ovat vielä kräkättävissä "vanhan" crc32-reiän kautta.
--
"There are only 10 types of people in this world:
those who understand binary, and those who don't."
heko Re: privsep
heko, 26.6.2002 15:43:36		 Pisteet: +1
Saas nähdä, tuleeko tästä reiästä yhtä paha kuin crc32-reiästä, scanssh:lla tehtyjen tilastojen mukaan jopa 30% ssh-palvelimista ovat vielä kräkättävissä "vanhan" crc32-reiän kautta.
Hmm, arvaanko väärin jos epäilen että luit tästä sivusta vain yläosan? http://www.citi.umich.edu/u/provos/ssh/> --> "Update on CRC32 vulnerability" --> http://www.citi.umich.edu/u/provos/ssh/crc32-updat... puhuu n. 20:sta.

Nykyinen reikä on kyllä hyvin mahdollisesti pahempi. Kokonaisuutena käyttäjiä on rutkasti enemmän nykyään, ja niistä suurin osa (scanssh:n tilastojen mukaan) OpenSSH:n käyttäjiä.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
heko Re: privsep
heko, 26.6.2002 15:57:11		 Pisteet: +1

Niinpä, nyt kun ei ole toista tietoturvatutkijaa reiän perässä, vaan ISS saa kaiken kunnian. Taas nähtiin, että ei nämä disclosure-policyt paljoa sido, vaan niitä väännetään sopiviksi aina tarpeen vaatiessa.
Voi olla, että osut oikeaan oletuksessasi ISS:n motiiveista, mutta kyllä näissä rei'issä ja tapauksissa _on_ sentyylisiä eroja, joista ISS on puhunutkin. Minusta ISS toimi Apachen kanssa hätiköiden ja OpenSSH:n kanssa viisaammin, mutta joka tapauksessa heidän esittämänsä selvitys näistä eroista täyttää ainakin muotovaatimukset.

ISS / Apache:
http://marc.theaimsgroup.com/?l=bugtraq&m=1024...
http://marc.theaimsgroup.com/?l=bugtraq&m=1024...
http://marc.theaimsgroup.com/?l=bugtraq&m=1024...

de Raadt / OpenSSH:
http://marc.theaimsgroup.com/?l=freebsd-security&a...
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
lussmu Re: privsep
lussmu, 26.6.2002 23:19:44		 Pisteet: 0
Mielenkiintoinen on muuten ero siinä miten ISS on hoitanut tästä reiästä uutisointia verrattuna Apachen vastaavaan.
Jep, tajusivat ilmoittaa valmistajalle ennen reiän julkistamista. Vaan eipä ilmoituksessa taaskaan ollut kehumista, ainakaan Theo de Raadtin (OpenBSD:n pääjehu) mukaan, kun ISS hätäili taas ja jostain syystä tahtoi aikaistaa reiän ilmoittamista. Tätä kirjoittaessa reikä on täysin julkinen ja mainostettu, mutta ainakaan Sunilta tai Red Hatilta ei vielä ole tullut päivitystä asiaan.

Alkup. posti http://marc.theaimsgroup.com/?l=openssh-unix-dev&a...

Ja siitä myöhemmät, myös TDR:n postit (niin uusia että eivät ole vielä päivittyneet arkistoihin)
heko Re: privsep
heko, 27.6.2002 12:40:21		 Pisteet: 0
ISS hätäili taas ja jostain syystä tahtoi aikaistaa reiän ilmoittamista.
Syyt saattoivat olla aivan validit, ehkä eivät. Ken tietää.

"They alerted me for various reasons they gave (which I could not verify) that they would change the schedule to tomorrow, last night."

< http://marc.theaimsgroup.com/?l=openbsd-misc&m...
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
lussmu Re: privsep
lussmu, 29.6.2002 13:07:10		 Pisteet: 0
ISS hätäili taas ja jostain syystä tahtoi aikaistaa reiän ilmoittamista.
Syyt saattoivat olla aivan validit, ehkä eivät. Ken tietää.
Niin, hehän taas hätäilivät, että "exploitti leviää netissä parhaillaankin". Exploittia vain ei ole vielä missään näkynyt, ja olisin koko Apache-fiaskon jälkeen muutenkin vähän skeptinen ISS:n suhteen.
heko Re: privsep
heko, 30.6.2002 00:14:50		 Pisteet: 0
Niin, hehän taas hätäilivät, että "exploitti leviää netissä parhaillaankin". Exploittia vain ei ole vielä missään näkynyt, ja olisin koko Apache-fiaskon jälkeen muutenkin vähän skeptinen ISS:n suhteen.
Onpas. Sitä ei tiedä, onko se kehitetty ennen vai jälkeen advisoryn.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
heko 3.4 ulkona
heko, 26.6.2002 17:33:55		 Pisteet: +2
heko Re: 3.4 ulkona
heko, 26.6.2002 18:08:14		 Pisteet: 0
OpenBSD:lle: ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/> Muille:
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable...
ChallengeResponseAuthenticationia suositellaan tilapäiseksi workaroundiksi:

http://marc.theaimsgroup.com/?l=bugtraq&m=1025...
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi