В SSH-клиентах OpenSSH и PuTTY выявлена уязвимость (CVE-2020-14002 в PuTTY и CVE-2020-14145 в OpenSSH), приводящая к утечке сведений в алгоритме согласования соединения. Уязвимость позволяет атакующему, способному перехватить трафик клиента (например, при подключении пользователя через контролируемую атакующим точку беспроводного доступа), определить попытку первоначального подключения клиента к хосту, когда клиентом ещё не прокэширован ключ хоста...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53286
Я так понимаю, пользователям FreeBSD следует срочно обновиться.
Эта уязвимость касается всех. При чём здесь FreeBSD? Тем более, некуда обновляться. Исправленной версии нет.
Клиент для винды должен был называться LaPuta...
или el coño, или la chimba, т.к. в PuTTY легко проследить отзыв к pussy
Их и так называют pussy.exe. Возможно я один из первых кто предложил этот термин более 10 лет назад, а возможно и нет.
> Я так понимаю, пользователям FreeBSD следует срочно обновиться.ютуб "ubuntu server remote administration"
первая ссылка:
https://youtu.be/Pt1vwQiUDn8?t=376вторая:
https://youtu.be/o-W_mDGX1bY?t=446
> Use a Terminal Emulator to Connect to the Server (PuTTy)третья
https://youtu.be/d1u6TnN3YEw?t=25
> Tutorial: Install SSH (OpenSSH-Server) in Ubuntu Server and Connect Remotely via Putty to ServerКакие однако интересные ДЕ у линуксоидов, особенно в первом видео (Гном, не иначе), гы-гы!
А какое ДЕ на твоей free bsd?
Люмина же!
> А какое ДЕ на твоей free bsd?У меня просто иксы, WM, панелька и набор самых удобных для меня, абсолютно независимых от тулкита или ЯП программ - вместо так любимого линуксоидами (особенно из ютубных видео выше) почти религиозного самоограничения "зато однообразно, красиво и прям как в венде или макоси!".
Кстати, неплохой уход с темы тулзов для администрирования убунты ))
Ну я свои убунты и чентоси администрирую с кубунты и манджары(с кедами тоже). Эти же машины админят суровые бздшники с вантузов, ибо вынуждены. Этот комментарий пишется с кубунты.> почти религиозного самоограничения "зато однообразно, красиво и прям как в венде или макоси!".
мне на это плевать. Не тулкит красит программу, а программа - тулкит.
>> почти религиозного самоограничения "зато однообразно, красиво и прям как в венде или макоси!".
> мне на это плевать. Не тулкит красит программу, а программа - тулкит.Оно и видно по предыдущим комментаторам, как пингвиноидам на это плевать ))
> Ну я свои убунты и чентоси администрирую с кубунты и манджары(с кедами тоже).
> Эти же машины админят суровые бздшники с вантузов, ибо вынуждены.Инфа - 146%! Аноним зуб дает!1 ))
ЧСХ - те, кто с виндовс админит убунты и _ц_ентоси конечно не линуксоиды, а "суровые бздшики". Кем же им еще быть?> Этот комментарий пишется с кубунты.
Да хоть с сопляриса.
Если смотреть не на клятвенные заверения анонимов (и даже не профессионально-детальное обсуждение местными "линуксоидами" новой версии WSL в соответсвующих новостях), а поискать модные видео-туториалы, то ... ссылки, как бы, приведены выше ...
Впрочем, неанонимные линускоиды, как бы, немного намекают на реальное положение дел )))
https://developers.redhat.com/blog/2020/02/12/podman-for-mac.../
> Senior Solutions Architect, Red Hat
> My daily laptop is a MacBook Pro, which is great unless you want to dual boot into Linux and develop on containers.https://itsfoss.com/linux-foundation-head-uses-macos/
> Linux Foundation Head Calls 2017 'Year of the Linux Desktop'… While Running Apple's macOS Himselfhttps://www.linux.com/news/30-linux-kernel-developers-30-wee.../
> 30 Linux Kernel Developers In 30 Weeks: Chuck Lever
> I run Mac OS on my desktop and do Linux kernel development in a virtualized environment. Mac OS offers ease-of-use along with a strong set of productivity tools. One productivity tool I use extensively is Evernote.
>>> почти религиозного самоограничения "зато однообразно, красиво и прям как в венде или макоси!".
>> мне на это плевать. Не тулкит красит программу, а программа - тулкит.
> Оно и видно по предыдущим комментаторам, как пингвиноидам на это плевать ))Хочешь сказать что я не пингвиноид?
>> Этот комментарий пишется с кубунты.
> Да хоть с сопляриса.Вот здесь - с удовольствием написал бы! Вот только работа в солярке войфая и спящего режима....
> Инфа - 146%! Аноним зуб дает!1 ))
> ЧСХ - те, кто с виндовс админит убунты и _ц_ентоси конечно не линуксоиды, а "суровые бздшики". Кем же им еще быть?
> Если смотреть не на клятвенные заверения анонимов (и даже не профессионально-детальное обсуждение местными "линуксоидами" новой версии WSL в соответсвующих новостях), а поискать модные видео-туториалы, то ... ссылки, как бы, приведены выше ...
> Впрочем, неанонимные линускоиды, как бы, немного намекают на реальное положение дел )))Это называется - whataboutism. Когда при баттхёрте начинается перевод стрелок и то что ты пишешь.
>>>> почти религиозного самоограничения "зато однообразно, красиво и прям как в венде или макоси!".
>>> мне на это плевать. Не тулкит красит программу, а программа - тулкит.
>> Оно и видно по предыдущим комментаторам, как пингвиноидам на это плевать ))
> Хочешь сказать что я не пингвиноид?Т.е. тот комментарий писал не пингвиноид?
>>> ютуб "ubuntu server remote administration"
>> А какое ДЕ на твоей free bsd?
> Эти же машины админят суровые бздшники с вантузов, ибо вынуждены.
> Этот комментарий пишется с кубунты.
> Это называется - whataboutism. Когда при баттхёрте начинается перевод стрелок и то что ты пишешь.Ну, тебе виднее про перевод стрелок и батхерты )))
- Так пингвиноид или не пингвиноид? Ты в своей отрицательной логике уже сам запутался. Определись уже.
- Твою фразу расцениваю как перевод стрелок из-за баттхёрта.
>>>>> ютуб "ubuntu server remote administration"
>>>> А какое ДЕ на твоей free bsd?
>>> мне на это плевать. Не тулкит красит программу, а программа - тулкит.
>> Оно и видно по предыдущим комментаторам, как пингвиноидам на это плевать ))
> - Так пингвиноид или не пингвиноид? Ты в своей отрицательной логике уже сам запутался. Определись уже.Попробуй читать, а не придумывать что-то. А то запутал сам себя в своих же фантазиях, а виноват оказался я.
> - Твою фразу расцениваю как перевод стрелок из-за баттхёрта.Забавно. Когда в качестве ответа на список видео с неанонимами и хорошим рейтингом в поисковике, аноним начинает рассказывать прохладные былины о том, как он админит бубунты и как он точно слышал, что бубунты с центосями из под вантуза админят "суровые бздшники" - это ни в коем случае не whatsaboutism и не перевод стрпелок! Ни-ни, что вы!
А вот когда усомняются в репрезентативности анонимной "статистики" (и заодно общей логике "кто с виндовс админ убунты и центоси, тот суровый бсдшник!"), пытаясь поинтересоваться более весомыми пруфцами ... то ... это конечно же исключительно "перевод стрелок из-за батхерта"!
В общем, то ли обычные перепончатые двойные стандарты, то ли не менее обычное опеннетное "когда нечего возразить по теме своего же неудачного наброса - сделай морду кирпичом и заяви про батхёрт и переводы стрелок".
> Когда при баттхёрте начинается перевод стрелок и то что ты пишешь.
> Твою фразу расцениваю как перевод стрелок из-за баттхёрта.Ты, главное - еще разок на всякий случай напиши, чтобы точно было понятно, у кого этот самый "буттхурт" )))
А где перепончатый двойной стандарт? И где прохладность былин? Для меня админить бубунты достаточно привычно именно с бубунт.
> Ты, главное - еще разок на всякий случайИшь как порвало! Не с проста наверное. Давай ещё больше текста с тем самым whataboutism.
> Впрочем, поясню.
> Ты, Чебурашка, нашёл ровно то, что искал.А ты, Гена, гений!
> Ты на Ютубе (!) искал чего-то там по администрированию nix-серверов. На Ютубе, где размещают видео.
> Неудивительно, что там ты встретил «творчество» таких же Чебурашек как и ты
> сам. Потому что только полная Чебурашка будет записывать видео для донесения
> исключительно текстовой информации. Там даже скринов не требуется, только текст, какое ещё видео?!Я правильно понимаю этот вопль души "Эта ниправильные линуксаиды! НИНАСТОЯЩИИЕ! НИЩИТАИЦА!!1"?
> Ну и что удивительного, что эти Чебурашки пользуются для администрирования чем угодно, только не подходящими для этого инструментами? Они и для более простой
> задачи (донесения информации) не смогли подходящий инструмент подобрать.Я понял! У Пингвиняш, все как всегда - это считаем, это "неправильные, совсем неправильные нелинуксоиды!Воть!" не считаем, а вот тут вот "совсем не двойные стандарты, просто ты НИПАНИМАИШЬ! Эта ДРУГОЕ!" заворачивали.
> Итого.
> Ты даже не смог нормальную выборку сделать, но при этом имеешь глупость
> и наглость делать какие-то там вывода о каких-то там линуксоидах.Ну-ка, ну-ка:
>> Я так понимаю, пользователям FreeBSD следует срочно обновиться.
>> Ну я свои убунты и чентоси администрирую с кубунты и манджары(с кедами тоже).
>> Эти же машины админят суровые бздшники с вантузов, ибо вынуждены.Давай Гена, расскажи еще что-то про правильную пингвиняью "выборку", "выводы", "глупость"!
За
> племя младое, незнакомое, бестолковое…
> слишком глупы,
> Чебурашка"наглость" и "вежливость" можешь не переживать - эталон уже помещен в палату мер и весов )))
Типичный линухсоид, не понимающий какие сервисы работают в его системе.. Позор.
> Типичный линухсоид, не понимающий какие сервисы работают в его системе.. Позор.Зачем местным линухоидам Putty или OpenSSH, если у них для локалхоста есть Prallels и WSL, а для ремота - вебпанелька?
> Те кто проверяют отпечатки ключей проблеме не подвержены.А вот поди проверь его! Если сервер за том конце шара)
И никакой псевдографики не показывается.
А не фиг вообще на него лезть!
И причём тут псевдографика? Если вы про рисунок, сопровождающий отпечаток, так он именно дополняет, а не заменяет строковое значение.
Речь же о MITM, то есть на сервер то вы попадёте, только через злоумышленника. Ну а там уже можно и проверить.
https://superuser.com/questions/421997/what-is-a-ssh-key-fin...
А зачем Вам подключаться в первый раз к серверу через хакерский Wi-Fi? Да ещё и не проверив fingerprint через сторонние ресурсы. Уязвимость в стиле: а вот была бы у него подпись VerySign...
А пароль для входа на этот сервер вы знаете? Или ключик ваш как-то прописан на сервере? Если так, то возможность узнать отпечаток ключа сервера у вас точно была.
man ssh-keysign
> Те кто проверяют отпечатки ключей проблеме не подвержены.Ну и басиньки.
Это вот к тому, что меня тут где-то кто-то упорно вопрошал - а зачем вам закрытая сеть и несколько уровней доступа, включая VPN. Ведь КЛАУД! ДОКЕР! СМУЗИ!Вот затем и нужен, чтобы желающие подменить ключ менее опытным пользователям пошли на хрен ещё на этапе доступа к трафику.
Тупо пишу yes при подкдючении
Какой такой ключ
Дай я тебя поцелую!
Соблюдай социальную дистанцию!
Нуб!Host *
StrictHostKeyChecking accept-new
UserKnownHostsFile /dev/null
Всё бы ничего, но вот только докер позволяет сделать клауд в закрытых сетях реальностью. И всякие кроваво-ынтырпрайзные финтехи этим давно уже пользуются. Посмотри на HSBC, Mr. Cooper, Deutsche Bank... Ну это те, в которые я деплоил всякую кубернетщину. Насчёт смузи - покупаю иногда.
Так что, я бы вам порекомендовал немножко разобраться в теме, прежде чем писать такие комментарии.
Приведённый списочек в каком-то плане показателен :)
С Deutsche Bank наверное больше всего работали, нет?
В этих местах крутится одно из наших решений, да. Самый показательный - это HSBC.
Ничего не понял. Уязвимость в том, что без использования CA возможен MITM?
Уязвимость в том, что можно определить, кого MITM'ить есть смысл, а у кого хост уже известен и MITM наверняка вскроется
Уязвимость в том, что народ наконец изучил матчасть, и понял, что само по себе SSH как "крест животворящий"(с) от MITM не защищает. А чтобы всё работало нужно на первом этапе сверить отпечаток ключа.Вернее это было всегда, но вот теперь нашли способ отделить первое подключение от уже существующих и сильно не палится.
Ответ от OpenSSH прекрасен. Парни явно не хотят костылить, а предпочитают решать проблемы, и протокол на данный момент уже имеет средства решения, и ими просто нужно пользоваться если нужно доверенное соединение.
Сколько программ, столько и уязвимостей! Возможно ли написать программу без ошибок, если ты не робот? Сомневаюсь...
Ух, сос мыслом брат ☝
Очевидное невероятное
Можно и даже было бы нужно, но это в идеальных условиях, неограниченное время и команда собранная из профи с образованиями не меньше докторского из нормальных западных универов с опытом лет 10 прод разработки. А не веб мака с опытом работы 1 неделя жабаскрипта и оптимальным манагером который урезает и так уже короткое время и требует всяких разных фичей которые кроме как для промо мало кому нужны. Ну или делаются каким-то дорком дома на колене под пивом
Если ваша программа написана без ошибок - позовите системного программиста - он исправит ошибки в компиляторе :)
Это не ошибка в программе. Это организационная ошибка.
Выдавать пользователю кучу цифробукв и спрашивать - оно? Путь к успеху.
В данном случае для строгой проверки клиент не должен был спрашивать оно или не оно, а спрашивать просто отпечаток у пользователя и если не оно говорить - аяяй! Но это же влом и муторно будет пользователям. Посему упрощенный вариант.
А винда не спрашивает при первом подключении по рдп? (спрашивает вообщето)
Нет тут ошибки, это узкое место, да, но или так, или еще большие и не однозначные костыли.Обычно, человек проверяет чего он там (доступ) создал, из своей сети, и нет необходимости ничего сверять, все промежуточные узлы подконтрольны.
и если надо тиражировать, - создаем "профиль", в котором та самая путти с теми самыми ключами хоста.
У меня так 200 человек ушло на удаленку, 2 дня писал скрипты, которые создают пользователя, генерируют ключи, генерируют батники, собирают "профиль" и пакуют в exeшник по нажатии кнопочки на специальной страчке, у эникеев просто нет шанса накосячить, как и у юзера.
Ага лучше писать хорошо, чем писать плохо.
Баг очевидный, наверняка многие знали или догадывались, странно что написали только сейчас. Использовать можно только когда в запасе месяц-другой времени, т.е. вряд ли юзабельно в целях наживы например.
И да, даже админы очень серьезных контор не проверяли и не будут проверять отпечаток.
У меня кстати всегда холодок пробегает, когда патти спрашивает при первом коннекте... я думаю, но потом не перепроверяю ;(
я не " админы очень серьезных контор", но да, при внезапном изменении отпечатка - обязательно проверяю. страшно патамучта.
И если по какой-либо причине меняю ключ на сервере - предупреждаю коллегу.
Не, не параноик.
> Баг очевидныйБага в OpenSSH - НЕТ!
> Атака строится на беспечности пользователей,
Проблема из-за "человеческого фактора".
Баг приводит к утечке информации. CVE выдали, пример атаки с его использованием есть, о чем тут спорить?
Сейчас событие "CVE выдали" не означает вообще ничего.
Дайте CVE. Мне очень интересно почитать на неисправленный баг в человеческом мозге (днк) из-за которого у людей все еще сохраняется неисправленная "feature" развивающая беспечность
> даже админы очень серьезных контор не проверяли и не будут проверять отпечаток.Админы серьёзных контор подписывают хостовые ключи, поэтому у них нет необходимости проверять их глазами.
Где-то хуже где-то лучше, некоторые стараются добавить все в known_hosts и раскидать по серверам, но все равно один админ с гарантией когда-нибудь полезет не проверив, возможно даже не на сервер а на домашнюю систему, где у него настроен туннель до работы, через который контору и хакнут. Например для Яндекса это сработает.
Это если не говорить об инсайде, там возможностей для гадости больше.
>> подписывают хостовые ключи
> некоторые стараются добавить все в known_hosts и раскидать по серверамЧитать и понимать написанное научись.
>>> подписывают хостовые ключи
>> некоторые стараются добавить все в known_hosts и раскидать по серверам
> Читать и понимать написанное научисьС этом скорее к Вам. :-P Вы там у себя подписывате, а рядом админы компаний подходят к вопросу по-разному, иногда никак, иногда используют схему с puppet+known_hosts или что-то еще более странное... пентерстеры об этом много могут рассказать (но не станут).
Итак, в библиотеке, связанной с сертификатами и шифрованием спустя много лет нашли очередную эпическую дырищу:-Если проект написан на JS - “ууу, вебмакаки!!111 школу вначале закончи!! А что ещё от JS ожидать ?))»
-Если проект написан на Си / Плюсах и является чуть ли неотъемлемой частью юниксовых систем, открывая хорошую такую дырень для «желающих» - «ненуачо, бывает. Просто шифроваться получше надо было и защит там всяких побольше приделать. И вообще, не бывает кода без ошибок».
Не пойму, зачем вообще менять порядок алгоритмов при аутентификации, когда ключ закеширован. Если настройки сервера и клиента не менялись, то при повторном соединении, как и при первом, выберется одинаковый алгоритм, и никакого предупреждения о смене ключа не будет. А если менялись, то предупреждение закономерно, и для хоста надо закешировать второй ключ или обновить первый.
>Если настройки сервера и клиента не менялись, то при повторном соединении, как и при первом, выберется одинаковый алгоритмЭто еще если версии пакетов не менять и пр. А то может оказаться что в версии N+1 добавят еще один алгоритм (причем более предпочтительный) и фигакс - у тебя предупреждение, что ты лезешь на другой сервак вместо своего. При частых ложных предупреждениях, ты их начнешь игнорировать. :(
На сервере могли сгенерировать новый ключ для нового алгоритма, например.
Я думал путти уже законодательно запретили.
Запрещали, запрещали да, потом поняли что бессильны и разрешили при первой же возможности. Кажется это про телеграм, но не суть, применимо к любому и везде. Извините если что.
> будет применена попытка применения не соответствующего прокэшированному ключу алгоритма с выводом предупреждения о неизвестном ключеЯ чота не догоняю - почему нельзя воздержаться от вывода предупреждения до тех пор, пока не перебраны безуспешно все алгоритмы?
Протокол аутентификации не позволяет перебирать алгоритмы. Там схема простая: клиент и сервер предлагают списки поддерживаемых алгоритмов, и после получения этих списков выбирается первый алгоритм из списка клиента, который поддержан сервером. Если аутентификация не прошла, соединение рвётся. Чтобы выбрать другой алгоритм, надо повторно соединиться и прислать алгоритмы в другом порядке.И потом, отсутствие ключа в кэше клиента - это не безуспешная попытка с точки зрения протокола. Это как раз говорит о том, что у сервера поменялся ключ.
> соединение рвётсяЯ чота не догоняю - почему нельзя воздержаться от вывода предупреждения до тех пор, пока не перебраны безуспешно все алгоритмы, совместно поддерживаемые сервером и клиентом, с установкой отдельного соединения для каждого алгоритма?
Т.е. пользователя надо спрашивать подряд
это ли правильная подпись - да/нет?
это ли правильная подпись - да/нет?
это ли правильная подпись - да/нет?
это ли правильная подпись - да/нет?
...
это еще более странное поведение будет.
> спрашивать подрядЧёрным по светло-оливковому написано: "воздержаться от вывода предупреждения до тех пор, пока не перебраны безуспешно все алгоритмы". То есть, после перебора выдать запрос: "алгоритм X - хэш такой-то, алгоритм Y - хэш такой-то, алгоритм Z - хэш такой-то. Закэшированный хэш такой-то. Решай сам."
Нету никакого перебора есть первое подключение.Речь про выбор сертификата для формирования ключа шифрования по подписи. вы предлагаете установить N шифрованных каналов, чтобы задать вопрос и потом N-1 закрыть?
Ну по факту уязвимость условная. Да, она даёт понять, есть ли у человека захешированный ключ или нет. Те кто не проверяют ключ, они и в первый раз не проверят, и в случае изменения его не проверят нажмут yes/
Как раз в случае изменения и заметят. Ибо изменение это неожиданно.
Как-то мне это помогло обнаружить конфликт ip адресов в локалке. Включаю сервак все ок. Потом что-то у него с сетью, а по ssh уже другой ключ.
А то, что в первый раз должен быть какой-то ключ - это нормальное поведение.
Кстати, разрабам, юзающим ssh исключительно для пуша открытых репозиториев на GitHub должно быть пофиг: выдача себя за сервер для клиента не позволит атакующему выдать себя за вас для сервера и закинуть бэкдор, но позволит принять пуш, который содержит и так публичные данные. Но вот с пуллом засада - пулл как раз атакующий может подменить, поэтому пуллить желательно по https.
MITM работает в обе стороны.
> ... , поэтому пуллить желательно по https.Убийственная логика.
"Градуируя его вдоль спины получаем синекдоху отвечания".