The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Неподтвержденная информация о наличии критической уязвимости в OpenSSH (дополнено)

07.07.2009 23:07

Marcus H. Sachs, директор центра исследования угроз в сети Интернет при институте SANS, сообщил, что по неофициальным каналам от нескольких источников поступила информация о наличии эксплоита, позволяющего атакующим получить полный доступ к хосту через неизвестную уязвимость в OpenSSH. По полученным данным уязвимости не подвержены свежие версии OpenSSH. Информация пока носит характер слухов и не подтверждена официально, тем не менее Marcus H. Sachs настоятельно советует обновить OpenSSH при использовании старых версий пакета.

Дополнение:

  • "0day openssh remote exploit" - демонстрация работы эксплоита против OpenSSH 4.3, самого кода эксплоита там нет;
  • "All Servers - SSH Access Restricted" - один из хостинг-операторов временно закрыл доступ к SSH для своих клиентов;
  • "Owl updates; Linux 2.4.37.2-ow1" - проект OpenWall выпустил обновление патча с исправлением в пакете openssh. Вероятно это лишь совпадение, так как ошибка довольно старая и проявляется в пакетах из состава Debian до версии 4.3p2-9etch3 в Etch и до версии 4.6p1-1 в Lenny.
  • "Does anyone know anything about this "0-day" ssh vulnerability? " - попытка участника Red Hat Security Response Team организовать обсуждение проблемы в списке рассылки разработчиков OpenSSH. Судя по всему у разработчиков Red Hat и OpenSSH пока нет никакой информации о сути проблемы.
  • Damien Miller, один из разработчиков OpenSSH, сообщил, что у него нет никакой достоверной информации о наличии эксплоита, а присланные ему в качестве доказательств дампы напоминают обычный перебор паролей (brute-force атака). Что касается двух старых DoS уязвимостей, исправленных после выхода openssh 4.3, то на их основе не возможно создать работающий эксплоит, позволяющий получить управление над системой;
  • Bojan Zdrnja, проанализировав доступные факты, сделал вывод, что эксплоита и неизвестной уязвимости в старых версиях OpenSSH не существует, а продемонстрированные в качестве "доказательства" взломы, следствие использования пользователями тривиальных паролей, которые удалось подобрать через brute-force атаку.


  1. Главная ссылка к новости (http://isc.sans.org/diary.html...)
  2. OpenNews: Угрожающий рост количества атак на SSH серверы.
  3. OpenNews: 20 самых значительных уязвимостей 2007 года
  4. OpenNews: Двадцать самых серьезных проблем безопасности 2005 года.
  5. OpenNews: 25 самых опасных ошибок при создании программ
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/22511-openssh
Ключевые слова: openssh, security, ssh, exploit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:34, 07/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне хостер прислал, чтобы переставил на другой порт или использовал только ключи.
    Дал ссылки:
    http://secer.org/hacktools/0day-openssh-remote-exploit.html
    http://forums.hostgator.com/all-servers-ssh-access-restricted-t52287.html - HostGator had turned off all SSH access to their servers.
     
  • 1.2, Andrew Kolchoogin (?), 00:26, 08/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    OpenSSH v4.3? А подревнее ничего не могли раскопать?
     
     
  • 2.3, Аноним (-), 06:11, 08/07/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не глупи... на большинстве продакшенов RHEL и CentOS стоит именно 4.3
     
     
  • 3.6, Andrew Kolchoogin (?), 15:12, 08/07/2009 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ну, скажем "большое спасибо" Red Hat'у, который (как, впрочем и Debian) считает, что старый bullshut обновлять не надо в весь период жизни дистрибутива.

    Для меня остаётся страшной тайной, откуда Red Hat'овцы (и Debian'щики) взяли в свои тупые головы идею, что разработчики софта будут следить за security в своём продукте во всех ветках, начиная с версии 1.0? Они, правда, не в курсе, что такое Code Refactoring? И что при нахождении "дырки" в ветке 5.x ДАЛЕКО неочевидно, что надо править в версии 4.x?

    Ну, удачи тем, кто использует Линукс.

     
     
  • 4.8, Владимир (??), 16:18, 08/07/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ваше заявление необосновано. Во-первых, редхат бакпортирует патчи безопасности, а во-вторых, более новая версия необязательно будет более безопасной.
     

  • 1.4, Аноним (-), 09:05, 08/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    так какие версии то подвержены уязвимости???
    от щас начнецо!!!
     
  • 1.5, User294 (??), 14:47, 08/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Булшит.Так нельзя ли уточнить - какие версии уязвимы и, вашу мать, как проверить что та или иная версия (не)уязвима?(номер версии еще не показатель, могли наложить патч...а могли и не наложить).Что за партизанщина?:Е
     
     
  • 2.7, Алекс (??), 15:18, 08/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Булшит.Так нельзя ли уточнить - какие версии уязвимы и, вашу мать, как
    >проверить что та или иная версия (не)уязвима?(номер версии еще не показатель,
    >могли наложить патч...а могли и не наложить).Что за партизанщина?:Е

    Тупо нет никаких подробностей о характере уязвимости, помимо того, что это в итоге remote root. Весь интернет уже з@ср@ли слухами, но пока не понятно, действительно ли  этот 0day существует. Но, вроде как, команда anti-sec имеет серьезную репутацию среди "этих" и скорее всего какая-то неприятная штука имеет место быть. Узнаем ближе к какой-то blackhat конференции, говорят к этому времени оно появится в паблик.

     
     
  • 3.9, vk (??), 16:48, 08/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А как на RHEL обновить openssh на 5 версию ? :) , использую 5.3 со всеми последними обновлениями с RHN, но версия пакета у меня:

    openssh-4.3p2-29.el5

     
     
  • 4.11, Алекс (??), 17:09, 08/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю проще всего -- взять src.rpm пакет и пересобрать с новой версией
     

  • 1.13, nirnroot (?), 00:12, 09/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вспоминатеся Матрица и эксплоит ssh-nuke :)
     
  • 1.14, Хоменко (ok), 03:59, 09/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://www.webhostingtalk.com/showthread.php?t=873301

    Товарищи указывают, что слухи пошли быть от приглашенных на разбор неких экспертов, которым тем больше и охотнее забашляли бы, чем больше они б нагнали страху. Ну они и нагнали.

    Товарищи также совсем не исключают, что имело место предварительное ломание ссш путем руткита и создание в нем бакдора (опять же, также предположение и слухи). И когда через оный впоследствии произошло проникновение -- так, что и в логах никаких следов -- возникло впечатление и паника, что имел место данный эксплойт. Такскать, ломали уже подпиленное.

    Сам же присоединяюсь к прозвучавшему мнению, что практика РедХата брать антикварную версию чего бы то ни было и без конца латать ее и конопатить во имя умозрительной стабильности достойна, как бы помягче выразиться, порицания. Они шо, самые умные? Умнее самих разработчиков?

     
     
  • 2.15, Тузик (?), 09:52, 09/07/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Те, кому не нравится политика РедХата, могут спокойно использовать Debian Sid или компилировать генту.
     
  • 2.16, Samm (??), 10:33, 09/07/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, они возможно просто немного умнее Вас, так бывает.

    Редхат старается обеспечить ABI совместимость в рамках релиза,  а также гарантировать то, что очередной апдейт ничего не сломает. Для этого и делают security backports

     
  • 2.20, Serg (??), 18:32, 17/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >что практика РедХата брать антикварную версию чего бы то ни было и без конца латать ее и >конопатить во имя умозрительной стабильности достойна, как бы помягче выразиться, порицания

    А не думал ли специалист по политикам обновлений г-н Хоменко, что изменения между пакетами, скажем, 4.3 и 4.4 отразились в Centos'e в переходе с openssh-4.3p2-28.el5 на openssh-4.3p2-29.el5, например.
    То, что они не придерживаются смены основных версий продукта еще не говорит о том, что они эти пакеты не патчат.

     
     
  • 3.21, Хоменко (ok), 05:19, 21/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет, патчить-то они патчат -- и этим как раз изо всех сил занимаются -- но мнится мне, что тут фондамантальный некий... как бы сказать... напрасный труд, что ли.

    Вот когда было ядро 2.2, еще задолго до того, как прошелестел BitKeeper и воспоследовало утверждение трехмесячного цикла с merge window и -rc{1-8}, -- вспоминая то время, Линус сетовал, что немеряно деревьев существует по дистрибутивам и компаниям со своими патчами и майнтайнерами и долгий и нудный период между релизами -- мне видится, что вот такая форма workflow определенно более жизнеспособна.

    Почему kernel.org поменялся так? Было ли это чьей-то удачной рационализацией? Думаю, образовалось все стихийно, а именно, в том смысле, что никто наперед не знал, что по-новому будет лучше. Но стало определенно лучше, и с тех пор продвинуть свой код в линусово дерево мечтает каждый, потому что знает, что там и только там его коду будет счастье.

    А РедХат кропает как бы по старинке -- у них такой освященный годами порядок. Свои версии ядра, свои версии всех на свете прожектов, все под их QA, и в любой момент времени попадет Линус под машину -- а РедХат как был, так и продолжает. Такой позиции в партере поди что возрази! If it ain't broke, don't fix it, понимаешь, народная мудрость.

    И РедХат как коммерческое предприятие, со всеми акционерами и обязанностями и клиентами и пр., охотно верю, имеет резон так поступать. Но только споспешествует это в первую очередь самой компании, а всеобщему делу опенсорц -- только во вторую очередь способствует.


    Где я работаю, IT товарищи сурьезные все сплошь, и с РедХатом у них типа контракт. Но я пользоваться ффоксом 1.5 (в прошлом году, но когда уже 3-й вышел!), что поставлялся с Центосом, отказался сразу и после однодневной перепалки отключился от их внутренней сети, взамен получив машину в свое распоряжение. И с тех пор там женту, все довольны, но на чьей стороне правда -- выяснять не стали. Вот разве на опеннете ругнусь иногда.

     

  • 1.17, Алекс (??), 12:22, 09/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кстати, это может быть попытка пересадить всех на саааамую последнюю версию openssh, в которой хацкеры могли найти какой-нибудь zeroday. Осталось подождать, пока все в панике будут обновлятся и тогда у них будет большой простор для деятельности :-D
     
  • 1.18, Аноним (-), 08:41, 10/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в новой новости OpenSSH 0day FUD
    http://isc.sans.org/diary.html?storyid=6760
    они опровергают старую новость
    http://isc.sans.org/diary.html?storyid=6742

    Вообщем если им верить то это был FUD

     
  • 1.19, pavlinux (ok), 00:22, 11/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > mем не менее Marcus H. Sachs настоятельно советует обновить
    > OpenSSH при использовании старых версий пакета.

    Что б он и спонсоры из ЦРУ, АНБ и ФБР могли юзать эксплойт,
    а то в старых версиях он не работает. И очень долго подбирать пароли.
    Мощности IBM RoadRunner, SETI@Home, Einstain@Home не хватает...
      

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру