Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 7.3.2002

Vakava tietoturva-aukko OpenSSH-etäyhteysohjelmistossa

OpenSSH-etäyhteysohjelmistosta on löytynyt tietoturva-aukko, joka antaa kräkkereille mahdollisuuden kaapata pääkäyttäjän oikeudet palvelimella. Vakavan tietoturva-aukon väärinkäyttö edellyttää paikallista käyttäjätunnusta järjestelmään, kirjoittaa aukon löytänyt ja julkistanut hollantilainen Joost Pol. Hän ei pidä myöskään mahdottomana tietoturva-aukon käyttöä ilman tunnusta. Tietoturva-aukko ilmenee kaikissa OpenSSH:n versioissa välillä 2.0 ja 3.0.2. OpenSSH:sta ilmestyi tänään korjausversio 3.1, jossa aukko on paikattu.

Lue juttu oma, 7.3.2002 23:28. Lähde: SecurityFocus

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 27 uutta / 27 )
pistettä.
Näytä vain kommentit joilla on vähintään
Ken neuvoo?
Anonyymi kommentoija, 7.3.2002 23:40:24		 Pisteet: +1
Auttakaa aloittelevaa Linux-peeloa mäessä...

Minulla on hostauksessa neljä Red Hat Linux 7.2 -palvelinta. Kaikissa on Red Hatin tuoreimmat OpenSSH-RPM:t asennettuna.

Red Hatilta ei ole vielä tullut (alkaa kuulostaa muuten MS-meiningiltä) korjattua pakettia. Pystyypikö tuon paketin upgradettamaan OpenSSH:n sivujen kautta löytyvällä paketilla?

Kokeilemaan ei viitsi alkaa, koska muuten juoksen pää kolmantena jalkana hostaajalle... Se ei ole kivaa...
Re: Ken neuvoo?
Anonyymi kommentoija, 7.3.2002 23:58:04		 Pisteet: 0
Red Hatilta ei ole vielä tullut (alkaa kuulostaa muuten MS-meiningiltä) korjattua pakettia. Pystyypikö tuon paketin upgradettamaan OpenSSH:n sivujen kautta löytyvällä paketilla?
Pystyy, mutta ei välttämättä ole helppoa aloittelijalle. Jos palvelimissa ei ole ulkopuolisia käyttäjiä (sellaisia jotka voisivat haluta rootin oikeudet) ei tuo välttämättä ole kovin kriittinen bugi varsinkaan jos vielä lisäksi olet estänyt yhteydet muista kuin omista ip:istä.
Re: Ken neuvoo?
Anonyymi kommentoija, 8.3.2002 00:17:05		 Pisteet: +1
Uudet ainakin RedHat 7.2 yhteensopivat RPM paketit löytyy ainakin osoitteesta:

ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable...

...asennus sujuu tutulla rpm -Uvh *rpm komennolla


- Mikko
Re: Ken neuvoo?
Anonyymi kommentoija, 8.3.2002 12:42:38		 Pisteet: 0
Uudet ainakin RedHat 7.2 yhteensopivat RPM paketit löytyy ainakin osoitteesta: ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable...
...asennus sujuu tutulla rpm -Uvh *rpm komennolla
Riittääkö se, että sshd_config fileeseen laittaa "Protocol 2" rivin jolloin ei ssh1:llä pääse sisään vaan vain ssh2:lla? Täällä kun ei muutenkaan ole tuota v1.x:ää enää käytetty. Kun jos oikein käsitin, niin bugi on tuon v1 puolella?
heko Re: Ken neuvoo?
heko, 9.3.2002 14:44:28		 Pisteet: 0

Riittääkö se, että sshd_config fileeseen laittaa "Protocol 2" rivin jolloin ei ssh1:llä pääse sisään vaan vain ssh2:lla?
Ei.

Kun jos oikein käsitin, niin bugi on tuon v1 puolella?
No eikä ole. Lue sorsat, jos et usko. :-)
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
mikko Re: Ken neuvoo?
mikko, 8.3.2002 17:53:46		 Pisteet: 0
Riittääkö se, että sshd_config fileeseen laittaa "Protocol 2" rivin jolloin ei ssh1:llä pääse sisään vaan vain ssh2:lla? Täällä kun ei muutenkaan ole tuota v1.x:ää enää käytetty. Kun jos oikein käsitin, niin bugi on tuon v1 puolella?
Ainakin aikaisempaan crc32 compensation attackiin riitti protokollan laittaminen kakkoseksi, mutta kannattaa varmaan lisäksi päivittää varmuuden vuoksi, kun noiden pakettejen kokokaan ei päätä huimaa ja päivitysoperaatio on melkoisen helppo.

PS. tuolta jonkun mainitsemasta mainitusta .fi mirrorista ei yöllä vielä löytynyt uusia rpm pakuja - joten at that time jenkkisaitti oli ainut mistä uudet löytyivät.
heko Re: Ken neuvoo?
heko, 8.3.2002 00:37:10		 Pisteet: +1
Red Hatilta ei ole vielä tullut (alkaa kuulostaa muuten MS-meiningiltä)
Tjust. Pinen mukaan koko juttu on ollut tiedossa kyllä vasta pari päivää. :-)

korjattua pakettia. Pystyypikö tuon paketin upgradettamaan OpenSSH:n sivujen kautta löytyvällä paketilla? Kokeilemaan ei viitsi alkaa, koska muuten juoksen pää kolmantena jalkana hostaajalle... Se ei ole kivaa...
Yhteys SSH-palvelimeenhan ei katkea, vaikka päivittäisitkin SSHD:n alta. (yhteydet ovat forkattujen sshd-prosessien, eikä parentin tappaminen tapa lapsia). Jos olet oikein paranoidi, voit tietysti myös tehdä kopiot ssh-konffeista, muuttaa kopiosta kuunnellun portin ja pidfileen, ja pyörittää kahta versiota sshd:sta kunnes saat testattua että kaikki toimii.

Kuten joku ehti toteamaankin ja advisoryssa todettiin, tämä on lähinnä lokaali reikä - jos koneissa ei ole muita käyttäjiä kuin sinä itse, ei mitään hillitöntä paniikinaihetta pitäisi olla, eli kannattaa käyttää enemmin hetki asioiden tekemiseen kunnolla kuin kädettää hosottaessa.

Lähempääkin löytyy muuten mirrori:

http://ftp.fi.debian.org/OpenBSD/OpenSSH/portable/...
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: Ken neuvoo?
Anonyymi kommentoija, 11.3.2002 12:35:16		 Pisteet: 0
Red Hatilta ei ole vielä tullut (alkaa kuulostaa muuten MS-meiningiltä)
Tjust. Pinen mukaan koko juttu on ollut tiedossa kyllä vasta pari päivää. :-)
No, ei ole vieläkään tullut. MS:n patchejä kun odotellaan, alkaa lyhyemmässäkin ajassa kuulua huutoa.

Tiedän, että voin hakea patchatun version OpenSSH:n sivuilta. Ja tiedän, että muitakin patchattuja versioita on liikkeellä.

Ongelma on nyt se, että kaltaiseni peelo ei tiedä, mihin näistä paketeista voi luottaa ja mitä niistä voi käyttää. Tiedotus Linux-maailmassa on usein aika kurjaa ja aukeaa vain niille, jotka ovat päässeet jo sisään tähän maailmaan. Ehto numero yksi Linuxin leviämiselle joka kotiin ja yritykseen on se, että käyttäjän ei tarvitse tulkita kryptisiä bulletiineja ja arpoa erilaisten versioiden kanssa. Ihan ensimmäisiä opetuksia tietokonemaailmassa liikkuessakin oli, että älä asenna mitään, minkä sisällöstä et voi olla varma. Samaa fraasia käytetään täällä Sektorissakin aina kun on kyse makroviruksista tai sähköpostimadoista.

Kyllä tälläinen peelo kuitenkin mieluiten ottaa ne RedHatin itsensä tekemät paketit, jotka on tehty ja testattu samaisessa ympäristössä, johon niitä olen tunkemassa. Luonnollisesti tämä on prosessi joka vie aikaa, mutta se pitäisi muistaa MS:n tapauksessakin.
heko Re: Ken neuvoo?
heko, 11.3.2002 21:35:48		 Pisteet: 0
No, ei ole vieläkään tullut.
Huu?

% cat /etc/redhat-release
Red Hat Linux release 7.1 (Seawolf)
% rpm -qi openssh
Name : openssh Relocations: (not relocateable)
Version : 3.1p1 Vendor: Red Hat, Inc.
Release : 1 Build Date: Thu Mar 7 23:10:08 2002
Install date: Sat Mar 9 14:01:29 2002 Build Host: asok.devel.redhat.com
Group : Applications/Internet Source RPM: openssh-3.1p1-1.src.rpm

GPG-signikin on ihan validi.

http://marc.theaimsgroup.com/?l=redhat-announce&am... on virallinen julkaisu.

Vai etsitkö ehkä 6.2:lle päivitystä? Siinä ei auttane kuin kääntää kasa softaa päivitetyistä SRPM:stä uudelleen, ja niitä päivitettäviä voi olla yllättäen aika monta.

7.0:n kanssa _voi_ olla ongelmia asentamistasi paketeista riippuen päivityksen kanssa, koska OpenSSH-päivitys (jo uudemmatkin päivitykset vaativat) vaatii myös OpenSSL-päivityksen, ja RedHat ei ole julkaissut kaikista OpenSSL:stä riippuvista paketeista päivityksiä.

OpenSSL on niitä softia, joilta ei todellakaan kannata odottaa taaksepäin yhteensopivuutta, ja jotka hyvistä yrityksistä huolimatta kosahtavat helposti jos niitä on järjestelmässä kaksi eri versiota.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Blob Re: Ken neuvoo?
Blob, 8.3.2002 13:30:09		 Pisteet: 0

Yhteys SSH-palvelimeenhan ei katkea, vaikka päivittäisitkin SSHD:n alta. (yhteydet ovat forkattujen sshd-prosessien, eikä parentin tappaminen tapa lapsia).
Näin ei vain ole RPM:n tapauksessa. RPM pysäyttää/tappaa kaikki prosessit mikäli nuo paketit päivittää. Itse onnistuin tappamaan kaikki sshd:t kerralla kun poistin OpenSSH:n RPM:t asennettuani jo SSH:n version. Eipä ollut muuta mahdollisuutta kuin raahata monitori ja näppis kiinni koneeseen ja käynnistää sshd sitä kautta. Tulevaisuutta ajatellen jätin telnetin auki (pääsy pelkästään sisäverkosta luonnollisesti).
heko Re: Ken neuvoo?
heko, 9.3.2002 14:46:31		 Pisteet: 0

Näin ei vain ole RPM:n tapauksessa. RPM pysäyttää/tappaa kaikki prosessit mikäli nuo paketit päivittää.
Öö. Eihän tämä ole mahdollista. Mä olen vuorenvarmasti päivittänyt lukuisia eri punahatun OpenSSH-RPM:iä ssh:n yli eri koneisiin. Viimeksi tänään. En tosin käytä suoraan portable-tiimin tekemiä.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Bugi
Anonyymi kommentoija, 9.3.2002 15:40:59		 Pisteet: 0
Wtf, Osaako muutkin tehdä bugeja ku MS?
Tietoturva yleensä.
samleh, 8.3.2002 10:12:16		 Pisteet: 0
Ei näytä kaikilla muillakaan menevän hyvin. http://www.norton.se. Eikös ko firma ole olevinaan joku tietoturvatoimittaja?
--
just joo.
Re: Tietoturva yleensä.
Anonyymi kommentoija, 8.3.2002 11:00:51		 Pisteet: 0
Ei näytä kaikilla muillakaan menevän hyvin. http://www.norton.se. Eikös ko firma ole olevinaan joku tietoturvatoimittaja?
Netcraft:

"The site www.norton.se is running Apache/1.3.14 (Unix) mod_fastcgi/2.2.8 PHP/4.1.2 on Linux"
Blob Tatun SSH haavoittuvainen
Blob, 8.3.2002 00:45:29		 Pisteet: +1
Juuri eilen vaihdoin OpenSSH:sta tuohon "kaupalliseen" Tatun versioon. Mistään ei ole tähän mennessä selvinnyt että koskeeko tämä bugi myös tätä versiota. Slashdotin foorumeilta ei löytynyt mitään selkeää vastausta, eikä myöskään SSH:n advisoreista. No ehkä se selviää huomenissa, koska todennäköisesti SSH ilmoittaa vähintään että tämä ei koske heidän versiotaan.
iguana Re: Tatun SSH haavoittuvainen
iguana, 8.3.2002 07:19:07		 Pisteet: 0
Juuri eilen vaihdoin OpenSSH:sta tuohon "kaupalliseen" Tatun versioon. Mistään ei ole tähän mennessä selvinnyt että koskeeko tämä bugi myös tätä versiota. Slashdotin foorumeilta ei löytynyt mitään selkeää vastausta, eikä myöskään SSH:n advisoreista. No ehkä se selviää huomenissa, koska todennäköisesti SSH ilmoittaa vähintään että tämä ei koske heidän versiotaan.
Ei koske.
setae Re: Tatun SSH haavoittuvainen
setae, 8.3.2002 02:21:41		 Pisteet: +1
Juuri eilen vaihdoin OpenSSH:sta tuohon "kaupalliseen" Tatun versioon. Mistään ei ole tähän mennessä selvinnyt että koskeeko tämä bugi myös tätä versiota.
Virallista tiedoitetta odottaessa hyvin epävirallinen kommentti asiasta :)

Bugi on ssh1-koodissa. OpenSSH on kehitetty ssh1-koodin pohjalta; SSH:n Secure Shell, joka on ssh2-protokollan implementaatio, on kirjoitettu lähes täysin uudestaan. SSH:n Secure Shellissä ei ole sisäänrakennettua tukea serveripuolella ssh1-protokollalle ilman erillistä ssh1-implementaatiota.

SSH on lopettanut tuen ssh1-implementaatiolleen virallisesti toukokuussa 2001, http://www.ssh.com/products/ssh/advisories/depreca...
Blob Re: Tatun SSH haavoittuvainen
Blob, 8.3.2002 10:22:37		 Pisteet: 0
Bugi on ssh1-koodissa. OpenSSH on kehitetty ssh1-koodin pohjalta; SSH:n Secure Shell, joka on ssh2-protokollan implementaatio, on kirjoitettu lähes täysin uudestaan.
Minä en ole missään nähnyt että koskisi nimenomaan ssh1:stä. Toisaalta nuo advisoryt ovat ehkä tarkoituksellakin hieman niukkasanaisia. En nyt tiedä SSH:n historiaa tarkkaan mutta eikös OpenSSH:n koodi perustu jossain määrin tuohon viralliseen SSH:n implementiaatioon? Lisäksi bugi mikä tuon aiheutti oli yksi for-looppi mistä puuttui yksi suurempikuin-merkki. Eli pienestä on kiinni. Tästä syystä rupesin mietiskelemään että tälläinen voi eksyä myös kaupalliseen tuotteeseen.
setae Re: Tatun SSH haavoittuvainen
setae, 8.3.2002 12:23:57		 Pisteet: 0
Bugi on ssh1-koodissa. OpenSSH on kehitetty ssh1-koodin pohjalta; SSH:n Secure Shell, joka on ssh2-protokollan implementaatio, on kirjoitettu lähes täysin uudestaan.
Minä en ole missään nähnyt että koskisi nimenomaan ssh1:stä.
En nyt tiedä SSH:n historiaa tarkkaan mutta eikös OpenSSH:n koodi perustu jossain määrin tuohon viralliseen SSH:n implementiaatioon?
(poistin jo signatureni)

OpenSSH on kehitelty ssh 1.2.12 - version pohjalta. ssh 1.2.12:sta on hyvin samankaltainen koodinpätkä, kuin mikä OpenSSH:n versioissa oli - samaisessa tiedostossa.
ssh 1.2.12:sta kyllä on tuo yksi puuttuva merkki, joka OpenSSH:sta puuttui :)

SSH:n ssh2-implementaatiossa ei ole kyseistä kohtaa lainkaan samassa muodossa.

Eli pienestä on kiinni. Tästä syystä rupesin mietiskelemään että tälläinen voi eksyä myös kaupalliseen tuotteeseen.
Ei kaupallisuus tai opensource ole mikään tae bugittomuudesta, ole koskaan ollut eikä koskaan tule olemaan.
Tenkanen Re: Tatun SSH haavoittuvainen
Tenkanen, 8.3.2002 21:56:29		 Pisteet: 0
Ei kaupallisuus tai opensource ole mikään tae bugittomuudesta, ole koskaan ollut eikä koskaan tule olemaan.
Minulle on kyllä kovasti väitetty että open sourcen etu kaupalliseen koodin verrattuna olisi nimenomaan se, että open sourcesta bugit ja tietoturvaongelmat korjataan pois paljon tehokkaammin, koska useampi koodia tutkiva silmäpari löytää kyllä ongelmat.
Eipä vaan näytä oikein toimivan käytännössä, kun tälläisiä linja-auton mentäviä tietoturvareikiä putkahtelee esiin.

Open sourcen ja Linuxin uskottavuus sai taas uuden kolauksen.
ATQ0 Re: Tatun SSH haavoittuvainen
ATQ0, 11.3.2002 09:07:51		 Pisteet: 0
Open sourcen ja Linuxin uskottavuus sai taas uuden kolauksen.
Aijaa? Meneekö mielestäsi Applen uskottavuus jos MS:n tuotteesta löyty reikä?
--
/(ATQ0)
setae Re: Tatun SSH haavoittuvainen
setae, 9.3.2002 08:43:01		 Pisteet: 0
Minulle on kyllä kovasti väitetty että open sourcen etu kaupalliseen koodin verrattuna olisi nimenomaan se, että open sourcesta bugit ja tietoturvaongelmat korjataan pois paljon tehokkaammin, koska useampi koodia tutkiva silmäpari löytää kyllä ongelmat.
Sanoisin melkein, että markkinointimiesten puhetta.
Open source-ohjelmistolla saattaa hyvin olla 100 testaajaa, tai 1000, tai 10000. Testaus kun on kovin paljon eriasia, kuin käyttö. Moniko näistä testaajista sitten todella tutkii koodin kokonaan läpi, ja omaa niin suuren ymmärryksen, että tämänkaltaisen virheen huomaisi? Ihmismieli kun tekee ikävästi oletuksen siitä, että koodi on oikein - ja tulee näinollen sokeaksi yhden merkin puutoksille.

Open sourcea hehkutetaan valitettavan usein sillä, että koska koodi on avoin, voi osaava koodaaja ohjelmoida siihen windowsin taakse halutessaan.
Kyllähän tämä pitää paikkaansa, mutta ajatus on silti aika utopistinen.

Eipä vaan näytä oikein toimivan käytännössä, kun tälläisiä linja-auton mentäviä tietoturvareikiä putkahtelee esiin. Open sourcen ja Linuxin uskottavuus sai taas uuden kolauksen.
Tämähän nyt ei liittynyt Linuxiin mitenkään - tai no, OpenSSH ja Linux ovat molemmat opensourcea erinlaisilla lisensseillä. Sama kuin Nortonin Ghostissa olevat ongelmat pudottaisivat Windowsin uskottavuutta.
heko Re: Tatun SSH haavoittuvainen
heko, 9.3.2002 14:43:28		 Pisteet: 0

Sanoisin melkein, että markkinointimiesten puhetta.
Tai esimerkiksi joidenkin yliopistojen professorien.

Open source-ohjelmistolla saattaa hyvin olla 100 testaajaa, tai 1000, tai 10000.
Ei kyse ole testaajista, vaan auditoijista. Useamman silmäparin lukema avoimen _koodin_ tulee nimenomaan useampi tietoturva-ammattilainen lukeneeksi, ja esimerkiksi akataamisessa maailmassa monet algoritmit todistetaan teoreettisesti oikeiksi.

Se, että tässä kaupallisuus ja open source olisivat jotenkin _vastakkain_, on vähän outo ajatus. Saahan kaupallisen SSH:nkin sorsat (tai sorsista suuren osan) ladattua verkosta.

Monissa open source -projekteissa niitä auditoijia ei ole, tai Q/A puuttuu ylipäätään kokonaan tai lähes kokonaan, ja vastaavasti monissa suljetuissa projekteissa voidaan nämä asiat hoitaa vaikka kuinka hyvin. Voidaan puhua enintään keskiarvoista, ja karrikoivista yleistyksistä. Joka tapauksessa on asia vähän monimutkaisempi kuin "on turvallisempaa" tai "ei ole". Millaista turvallisuutta haetaan, miten sitä mitataan, mikä ohjelma lasketaan mihinkin leiriin kuuluvaksi, jne.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
junix Re: Tatun SSH haavoittuvainen
junix, 9.3.2002 16:44:48		 Pisteet: 0
Ei kaupallisuus tai opensource ole mikään tae bugittomuudesta, ole koskaan ollut eikä koskaan tule olemaan.
Minulle on kyllä kovasti väitetty että open sourcen etu kaupalliseen koodin verrattuna olisi nimenomaan se, että open sourcesta bugit ja tietoturvaongelmat korjataan pois paljon tehokkaammin, koska useampi koodia tutkiva silmäpari löytää kyllä ongelmat.
Eipä vaan näytä oikein toimivan käytännössä, kun tälläisiä linja-auton mentäviä tietoturvareikiä putkahtelee esiin.
Open sourcen ja Linuxin uskottavuus sai taas uuden kolauksen.
Open SSH julkaisi korjaus version heti seuraavana päivänä kun aukko löydettiin, kaupallisilla versioilla menee monesti parista päivästä viikkoihin.
heko Re: Tatun SSH haavoittuvainen
heko, 8.3.2002 09:42:00		 Pisteet: +1
Bugi on ssh1-koodissa.
Eikä ole. Lue se advisory. http://www.openbsd.org/advisories/ssh_channelalloc... : "All versions of OpenSSH between 2.0 and 3.0.2..."

CVS annotatella... http://grappa.unix-ag.uni-kl.de/cgi-bin/cvsweb/src... selviää viallisen rivin versionumero, 1.63, ja http://grappa.unix-ag.uni-kl.de/cgi-bin/cvsweb/src... kertoo että muutos on tehty Sun Jun 25 20:17:57 2000.

SSH:n Secure Shellissä ei ole sisäänrakennettua tukea serveripuolella ssh1-protokollalle ilman erillistä ssh1-implementaatiota.
No, jos haluat käyttää SSH, Inc:n version kanssa ssh1:tä, voit:

- ostaa toisen lisenssin ssh1:stä varten (whee)
- käyttää vanhempaa ja bugisempaa, vapaata versiota ssh1:sestä (whee)
- käyttää OpenSSH:ta
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Norton.se
McTappaja, 8.3.2002 15:42:01		 Pisteet: 0
Ei tuo norton.se minun tietääkseni liity mitenkään nortoniin, tai symanteciin!