/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Er Debian ssh sårbar for "Kerberos 4 TGT/A~
Fra : Allan Olesen


Dato : 17-06-02 23:58

Jeg er faldet over denne sårbarhed i openssh:

http://online.securityfocus.com/bid/4560

Den har åbenbart været kendt siden midt i april.

Så vidt jeg kan se ud af versionsnummeret, bør den version af
ssh, der følger med Debian Woody, være sårbar. Jeg har søgt en
del og kan ikke finde noget "officielt" om, hvorvidt Debian er
ramt.

På ovennævnte side er der en exploit, som jeg har hentet og
kompileret. Den kommer med følgende output:

$ ./tgt 127.0.0.1 allan detkunneinokgodttænkejeratvide

connected
remote protocol version 2.0, software version -- OpenSSH_3.0.2p1
--
client protocol:SSH-1.5-1.3.0
waiting for server public key

FATAL: invalid packet length 1349676916

....og nu sidder jeg så og spekulerer på, om det betyder, at min
maskine er sikker - eller om det betyder, at min ssh ikke
virker...

(Jeg kan i øvrigt se, at tallet 1349676916 nævnes ret tit i
forbindelse med kommunikationsfejl i ssh. Det er tilsyneladende
ascii-værdierne af strengen "Prot" omsat til en lang integer, og
den ender i nogle pakker der, hvor pakkelængden skulle angives -
men det tyder jo egentlig mest på, at min ssh ikke fungerer.)

Nogen, der kan kaste lidt lys over det?



--
Allan

 
 
Kim Hansen (18-06-2002)
Kommentar
Fra : Kim Hansen


Dato : 18-06-02 00:32

Allan Olesen <aolesen@post3.tele.dk> writes:

> Jeg er faldet over denne sårbarhed i openssh:
>
> http://online.securityfocus.com/bid/4560
[ snip ]
>
> Nogen, der kan kaste lidt lys over det?

Jeg har kigget i source-pakken til Woody, og der er det ikke rettet.

Det ser til gengæld ud til at det ikke er noget problem sålænge man
ikke bruger KerberosTgtPassing med AFS, er der nogen der kan
bekræftige mig i den antagelse?

Men jeg kan heller ikke finde det som bug på ssh-pakken, og det
underer mig lidt.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

Alex Holst (18-06-2002)
Kommentar
Fra : Alex Holst


Dato : 18-06-02 01:47

Kim Hansen <k-tahf.qvxh@oek.dk> wrote:
> Det ser til gengæld ud til at det ikke er noget problem sålænge man
> ikke bruger KerberosTgtPassing med AFS, er der nogen der kan
> bekræftige mig i den antagelse?

Det er korrekt:

"Versions prior to OpenSSH 3.2.1 allow privileged access if
AFS/Kerberos token passing is compiled in and enabled (either in
the system or in sshd_config)."

<http://www.openssh.com/security.html>

Hvorledes landet ligger i Debian's pakker er jeg ikke klar over, men
problemet er ikke beskrevet paa Debian's security alert side:

<http://www.debian.org/security/2002/>

HTH,
Alex

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Kim Hansen (18-06-2002)
Kommentar
Fra : Kim Hansen


Dato : 18-06-02 01:57

Alex Holst <a@area51.dk> writes:

> Kim Hansen <k-tahf.qvxh@oek.dk> wrote:
> > Det ser til gengæld ud til at det ikke er noget problem sålænge man
> > ikke bruger KerberosTgtPassing med AFS, er der nogen der kan
> > bekræftige mig i den antagelse?
>
> Det er korrekt:
>
> "Versions prior to OpenSSH 3.2.1 allow privileged access if
> AFS/Kerberos token passing is compiled in and enabled (either in
> the system or in sshd_config)."
>
> <http://www.openssh.com/security.html>

Godt nok :)

> Hvorledes landet ligger i Debian's pakker er jeg ikke klar over, men
> problemet er ikke beskrevet paa Debian's security alert side:
>
> <http://www.debian.org/security/2002/>

Men det skal det heller ikke, da versionen i stable er 1.2.3 eller
noget i den stil, og derfor ikke berørt af fejlen. Fejl i testing og
unstable bliver ikke annonceret.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

Allan Olesen (27-06-2002)
Kommentar
Fra : Allan Olesen


Dato : 27-06-02 19:57

Alex Holst <a@area51.dk> wrote:

>Det er korrekt:
>
> "Versions prior to OpenSSH 3.2.1 allow privileged access if
> AFS/Kerberos token passing is compiled in and enabled (either in
> the system or in sshd_config)."
>
> <http://www.openssh.com/security.html>
>
>Hvorledes landet ligger i Debian's pakker er jeg ikke klar over, men
>problemet er ikke beskrevet paa Debian's security alert side:

Nu har jeg så fået læst lidt dokumentation til Debians ssh-pakke.
Der står allernederst i /usr/doc/ssh/README.Debian.gz:

>Kerberos Authentication:
>------------------------
>ssh is compiled without support for kerberos authentication, and there are
>no current plans to support this. Thus the KerberosAuthentication and
>KerberosTgtPassing options will not be recognised.

Jeg har en tåget forestilling om, at det nok betyder, at Debians
pakke ikke var sårbar.

I mellemtiden er det jo reelt blevet lige meget, eftersom
Debian-folkene af andre årsager er gået i panik og har opdateret
Woodys ssh-pakke 5 gange inden for de seneste dage med diverse
udgaver af OpenSSH 3.3 og 3.4.


--
Allan

N/A (27-06-2002)
Kommentar
Fra : N/A


Dato : 27-06-02 20:17



Alex Holst (27-06-2002)
Kommentar
Fra : Alex Holst


Dato : 27-06-02 20:17

Peter Makholm <peter@makholm.net> wrote:
> Der er reelt ingen andre end Theo der ved hvor sikkerhedshullerne
> ligger. Patchen fra 3.3 til 3.4 rører vist betydelig større dele af
> koden end bare enkeltområder der kan slås fra og til.

Fra 3.4 release notice:

"In addition, OpenSSH 3.4 adds many checks to detect invalid
input and mitigate resource exhaustion attacks."

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Allan Olesen (27-06-2002)
Kommentar
Fra : Allan Olesen


Dato : 27-06-02 20:33

Peter Makholm <peter@makholm.net> wrote:

>Der er folk på sikkerhedsteamet der med sikkerhed har kunnet chrashe
>en debian sshd.

Sikkert, men med den sårbarhed, denne tråd handler om?

(Som ikke har noget at gøre med den sårbarhed, alle taler om i
disse dage).

>> I mellemtiden er det jo reelt blevet lige meget, eftersom
>> Debian-folkene af andre årsager er gået i panik og har opdateret
>
>Næhhh, det er sådan set bare det naturlige efterdynginger efter at
>lave en så stor opdatering uden mulighed for at lave en ordetlig
>QA-gennemgang af pakken.

Hvilket kun kan resultere i panik.


--
Allan

Kent Friis (27-06-2002)
Kommentar
Fra : Kent Friis


Dato : 27-06-02 20:48

Den Thu, 27 Jun 2002 21:05:09 +0200 skrev Peter Makholm:
>Allan Olesen <aolesen@post3.tele.dk> writes:
>
>> Jeg har en tåget forestilling om, at det nok betyder, at Debians
>> pakke ikke var sårbar.
>
>Der er reelt ingen andre end Theo der ved hvor sikkerhedshullerne
>ligger. Patchen fra 3.3 til 3.4 rører vist betydelig større dele af
>koden end bare enkeltområder der kan slås fra og til.

De to pathces jeg har set, var på 2 og 8 linier. Det var kun for
sikkerhedshullerne, og ikke de andre ændringer.

Mvh
Kent
--
Object orientation: the idea, that humans find it easier to understand
"you.car.engine.start" than "start your car engine".

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408874
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste