---

I /var/secure/log har jeg en linie:
"scanned from 62.153.242.19 with SSH-1.0-SSH_Version_Mapper. Don't
panic."

En "host 62.153.242.19" svarer:

"Host 19.242.153.62.in-addr.arpa not found: 3(NXDOMAIN)"

Øhhh? Skal jeg være bekymret? Kører RH 7.3.

Michael

---

Michael Eriksen <abc@xyz.dk> wrote:
> I /var/secure/log har jeg en linie:
> "scanned from 62.153.242.19 with SSH-1.0-SSH_Version_Mapper. Don't
> panic."
>
> En "host 62.153.242.19" svarer:
>
> "Host 19.242.153.62.in-addr.arpa not found: 3(NXDOMAIN)"
>
> Øhhh? Skal jeg være bekymret? Kører RH 7.3.

Det kommer an paa 2 ting:

1) Forventede du at noget (din firewall eller andet) forhindrede
62.153.242.19 i at connecte til port 22 paa din maskine?

2) Er der kendte sikkerhedsfejl i den OpenSSH version du koerer?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

[cut oprd. spg.]
> Det kommer an paa 2 ting:
>
> 1) Forventede du at noget (din firewall eller andet) forhindrede
> 62.153.242.19 i at connecte til port 22 paa din maskine?
>
> 2) Er der kendte sikkerhedsfejl i den OpenSSH version du koerer?

ad 1) Nej. Intet vil forhindre at man prøver at tilslutte, for der kan
være en legal bruger fra ip-nummeret. Maskinen står på et universitet
hvor legale brugere flyver og farer verden rundt.

ad 2) Hmmm-jaehhh det er der vist Må hellere straks få opgraderet!

Tak for svaret.

Michael

---

[cut]
> ad 2) Hmmm-jaehhh det er der vist Må hellere straks få
> opgraderet!

Efter at have chekket: OpenSSH er openssh-3.1p1-6.rpm og den senste i
RH update (hos sslug.dk) er det godt nok?

mvh

Michael

---

Michael Eriksen wrote:

>
> Efter at have chekket: OpenSSH er openssh-3.1p1-6.rpm og den senste i
> RH update (hos sslug.dk) er det godt nok?

Nej, du skal enten køre openssh-3.3p1 med

"UsePrivilegeSeparation yes"

.... er helst version 3.4p

Peter

---

>> Efter at have chekket: OpenSSH er openssh-3.1p1-6.rpm og den
>> senste i RH update (hos sslug.dk) er det godt nok?
>
> Nej, du skal enten køre openssh-3.3p1 med
>
> "UsePrivilegeSeparation yes"
>
> ... er helst version 3.4p
>
> Peter

Hmm - sunsite havde heller ikke noget at byde på i RH update, ej heller
rmpfind.net. Så gik jeg på OpenSSH.com og deres nærmeste mirror,
sunsite, havde minsanten i
"ftp://sunsite.dk/mirrors/openssh/portable/rpm/RH73/" version 3.4!

Det er skuffende at RH update slet ikke er "update", denne fejl har
været kendt langt over en ugen. Øv!

Nå, jeg må til at opgrade.

Tak for hjælpen.

Michael

---

Michael Eriksen wrote:

> Hmm - sunsite havde heller ikke noget at byde på i RH update, ej heller
> rmpfind.net. Så gik jeg på OpenSSH.com og deres nærmeste mirror,
> sunsite, havde minsanten i
> "ftp://sunsite.dk/mirrors/openssh/portable/rpm/RH73/" version 3.4!
>
> Det er skuffende at RH update slet ikke er "update", denne fejl har
> været kendt langt over en ugen. Øv!

Tja, 3.1p1-6 er faktisk en sikkerhedsopdatering med rettelserne patchet ind
i 3.1p1. Så de har faktisk reageret på fejlen.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
People are lonely because they build walls instead of bridges.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

In article <aga4a2$elm$1@carlsberg.amagerkollegiet.dk>, Rasmus Bøg Hansen wrote:

> Tja, 3.1p1-6 er faktisk en sikkerhedsopdatering med rettelserne patchet ind
> i 3.1p1. Så de har faktisk reageret på fejlen.

Redhat (og Debian) ændre aldrig versionsnumrene når der er
security exploits der bliver rettet. Det er de skam også i deres fulde
ret til, da de patcher istedet for at compile en hel ny version,
så er det blot patchlevelen der bliver ændret på.

--
Med venlig hilsen
Bo Simonsen

Join the GNU generation!

---

> Redhat (og Debian) ændre aldrig versionsnumrene når der er
> security exploits der bliver rettet. Det er de skam også i deres
> fulde ret til, da de patcher istedet for at compile en hel ny
> version, så er det blot patchlevelen der bliver ændret på.

Jovist, men det gør det ikke nemmere (prøve) at være en ansvarlig
linuxoperatør: alle råd (her, sslug, theinquirer...) gik på STRAKS at
opgradere til ver 3.4. Så bliver man let noget panikket når man ser at
man bruger 3.1.

Jeg kan sagtens se fornuften i at holde fast i en given version bare
den er sikkerhedspatchet ordenligt, men som administrator får man altså
fast arbejde med at chekke diverse patch-niveauer for alle mulige
pakker.

Jeg kører med "autoupdate" (fix konkurrent til up2date), netop fordi
jeg har svært ved at få tid til at følge med i alle hullerne. Og det
virker altså, det var bare mig der gik i panik

Michael

---

Michael Eriksen <abc@xyz.dk> wrote:
>> Redhat (og Debian) ændre aldrig versionsnumrene når der er
>> security exploits der bliver rettet. Det er de skam også i deres
>> fulde ret til, da de patcher istedet for at compile en hel ny
>> version, så er det blot patchlevelen der bliver ændret på.
>
> Jovist, men det gør det ikke nemmere (prøve) at være en ansvarlig
> linuxoperatør: alle råd (her, sslug, theinquirer...) gik på STRAKS at
> opgradere til ver 3.4. Så bliver man let noget panikket når man ser at
> man bruger 3.1.

Det andet aspekt er, at i ugen mellem advarselen fra OpenSSH til release
af 3.4 blev der lavet mange andre sikkerhedsaendringer i OpenSSH
sourcen, og jeg tvivler paa at disse vendors virkeligt har backportet
andet end fixene for de fejl som ISS fandt. Men det staar vel i
changelog.

Det er ikke for sjov, at vi gaar rundt og skyder folk, erhm, jeg mener,
at den paagaeldende OpenSSH advisory staerkt anbefaler at opgradere til
3.4.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Michael Eriksen wrote:
> I /var/secure/log har jeg en linie:
> "scanned from 62.153.242.19 with SSH-1.0-SSH_Version_Mapper. Don't
> panic."
> En "host 62.153.242.19" svarer:
>
> "Host 19.242.153.62.in-addr.arpa not found: 3(NXDOMAIN)"
>
> Øhhh? Skal jeg være bekymret? Kører RH 7.3.

Jeg ville nok sørge for at min SSH var opdateret, men hvis du ikke har
andre lignende beskeder tor jeg ikke du er kompromiteret.
På sådanne maskiner er det nok en god idé at køre f.eks. Tripwire
http://www.tripwire.org

Mange IP-adresser har ikke noget reverse lookup nu om dage. Du får bedre
information med traceroute.

Peter