The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.04.2015 23:20  Критическая уязвимость в Haskell-реализации SSH

Ошибка в Haskell-пакете ssh привела к возможности успешной аутентификации любого пользователя посредством его публичного (не приватного!) ключа. Haskell-реализация SSH, в частности, используется в darcsden для организации совместного доступа к репозиториям системы контроля версий Darcs. В связи с этим всем пользователям darcsden (в частности, пользователям онлайн-хранилища репозиториев Darcs Hub) настоятельно рекомендуется проверить целостность и аутентичность своих репозиториев.

Хронология:

  • 21.03: От стороннего разработчика получены сведения о проблеме с пакетом ssh: последний некорректно осуществлял проверку подписи публичного ключа во время аутентификации пользователя. Как результат, стало возможным пройти аутентификацию, зная лишь публичный SSH-ключ пользователя.
  • 21.03: Проблема обсуждается с рядом основных разработчиков Darcs, а также с автором Haskell-пакета ssh.
  • 25.03: Предварительное исправление вносится на Darcs Hub. Предполагается, что уязвимость уже была этим действием закрыта.
  • 06.04: Вносится более проработанное и протестированное исправление.
  • 15.04: Всем пользователям Darcs Hub, кто указал работоспособный адрес электронной почты, отправлены уведомления.
  • 20.04: Сведения об уязвимости публично раскрыты.


  1. Главная ссылка к новости (http://joyful.com/blog/2015-04...)
Автор новости: Вадим Жуков
Тип: Проблемы безопасности
Ключевые слова: ssh, haskell
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Анончег (?), 00:30, 22/04/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +5 +/
    Haskel - это надёжно и молодёжно!

    "Покупайте наших слонов!"(C)

     
     
  • 2.6, Аноним (-), 04:30, 22/04/2015 [^] [ответить]    [к модератору]
  • –1 +/
    > "Покупайте наших слонов!"(C)

    К счастью, критичность этой проблемы несколько преувеличена. В том плане что найти сервер с этим - надо сильно постараться.

     
     
  • 3.13, Аноним (-), 09:20, 22/04/2015 [^] [ответить]     [к модератору]
  • +1 +/
    Тем не менее, для тех, кто пользуется, проблема критична Вопрос в подходе, как ... весь текст скрыт [показать]
     
  • 2.18, Michael Shigorin (ok), 13:17, 22/04/2015 [^] [ответить]    [к модератору]  
  • –2 +/
    > Haskel - это надёжно и молодёжно!

    Человеку, который не смог переписать семь букв -- хорошо бы задуматься над очередным примером того, что никакой инструмент не может за человека думать, писать, проверять...

    Вдруг всё-таки на пользу окажется.

     
     
  • 3.32, Анончег (?), 23:07, 22/04/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    Мишаня, поздравляю! Эк ты меня конкретно, а главное по делу, уел, молодец !
     
  • 1.2, Аноним (-), 00:38, 22/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Казалось бы, зачем писать тесты.
     
     
  • 2.15, Аноним (-), 10:22, 22/04/2015 [^] [ответить]     [к модератору]  
  • +/
    А они есть Только не на все случаи, потому что всего тестов бесконечное количес... весь текст скрыт [показать]
     
  • 2.26, Аноним (-), 16:25, 22/04/2015 [^] [ответить]    [к модератору]  
  • +/
    Про sqlite слышали? Даже там находят дефекты и уязвимости (хотя бы недавний прогон его afl). Наличие тестов не показывает отсутствия дефектов.
     
     
  • 3.27, Michael Shigorin (ok), 16:31, 22/04/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Наличие тестов не показывает отсутствия дефектов.

    Собственно, наличие тестов помогает выявить присутствие дефектов. :)

     
  • 1.11, Нанобот (ok), 09:10, 22/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вот не написали бы новость с таким кричащим заголовком, я бы никогда и не узнал, что существует какой-то Darcs Hub
    это типа такая реклама?
     
     
  • 2.12, Аноним (-), 09:16, 22/04/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Нет Я сам ни разу не хаскелист, но случай показался мне любопытным, а для кого-... весь текст скрыт [показать]
     
  • 2.16, Demo (??), 12:20, 22/04/2015 [^] [ответить]    [к модератору]  
  • –2 +/
    > вот не написали бы новость с таким кричащим заголовком,
    > я бы никогда и не узнал, что существует какой-то Haskell

    //fixed

     
  • 1.14, Михрютка (ok), 09:44, 22/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    демьянщики с их злощасным нерэндомным рэндомом могут вздохнуть свободно. следующие пять лет в пример будут ставить хаскелистов.

    а все почему - "we are not cryptographers - I’m sure the new ssh maintainer would welcome any help from some of those."

     
     
  • 2.17, Аноним (-), 12:24, 22/04/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Если верить мейнтейнеру Haskell в OpenBSD, то пакет random, используемый всё тем же пакетом ssh, грешит тем же. :)
     
  • 2.19, Аноним (-), 13:25, 22/04/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Пожелаем Не Криптографам пишущим ssh, чтобы поезд которым они едут вел Не Машини... весь текст скрыт [показать]
     
     
  • 3.22, Михрютка (ok), 13:53, 22/04/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > а хирург который
    > их будет оперировать - Не Хирургом.

    ну так хирург уже занят, он пишет ck патчи к ядру :)


     
     
  • 4.24, Аноним (-), 13:58, 22/04/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    На самом деле он достаточно нормальный програмер Кроме всего прочего он написал... весь текст скрыт [показать]
     
  • 3.28, arisu (ok), 19:05, 22/04/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Пожелаем Не Криптографам пишущим ssh, чтобы поезд которым они едут вел Не
    > Машинист, чтобы стрелки переводил Не Диспетчер, чтобы таксист оказался Не Таксистом,
    > чтобы пилот самолета был все непременно Не Пилотом, а хирург который
    > их будет оперировать - Не Хирургом.

    ну так иди и сам запили, Крутой Криптограф.

    что? не Крутой и не Криптограф? и вообще тебе хаскель не нужен? а кому‐то нужен. и они за неимением гербовой вынуждены писать на простой. и честно сообщают, что они не настоящие сварщики, но были вынуждены.

    к чему претензии, я не понял? к тому, что люди не ноют, ожидая Дара Богов, а пытаются решать проблемы с теми ресурсами что у них есть? странные претензии.

     
     
  • 4.30, Михрютка (ok), 21:00, 22/04/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > ну так иди и сам запили, Крутой Криптограф.
    > что? не Крутой и не Криптограф? и вообще тебе хаскель не нужен?
    > а кому‐то нужен. и они за неимением гербовой вынуждены писать на
    > простой. и честно сообщают, что они не настоящие сварщики, но были
    > вынуждены.

    "есть нюанс"(ТМ)

    у меня на работе есть один такой некриптограф. его если носом в его говно потыкаешь, он заламывает руки и громко говорит: "Вы такие умные, берите и делайте лучше!"

    проблема не в том, чтобы сделать лучше, чем он - это как раз нетрудно. проблема в том, что он же от этого говно делать не перестает.

     
     
  • 5.31, arisu (ok), 21:19, 22/04/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    ну так берите и делайте. а дурака увольте.

    есть такое мнение, что те, кто терпят дурака в команде, недалеко от него ушли. если ушли вообще.

     
     
  • 6.33, Михрютка (ok), 00:21, 23/04/2015 [^] [ответить]    [к модератору]  
  • +/
    > ну так берите и делайте. а дурака увольте.
    > есть такое мнение, что те, кто терпят дурака в команде, недалеко от
    > него ушли. если ушли вообще.

    да я не то чтобы жалуюсь и спрашиваю совета, как быть, если чо. с такими, слава богу, давно научился справляться. я просто пример привожу.

    я могу, например, шугануть дурака, чтобы он в мою ответственность не совался, и он не суется.

    а вот как быть с дураком который дурак забесплатно.

     
     
  • 7.34, arisu (ok), 00:31, 23/04/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > а вот как быть с дураком который дурак забесплатно.

    сделать лучше. или не пользоваться тем, что он делает.

     
  • 1.20, Аноним (-), 13:34, 22/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Вот так вот - юзать маргинальщину.
     
     
  • 2.21, Michael Shigorin (ok), 13:42, 22/04/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Вот так вот - юзать маргинальщину.

    Мне вот что интересно -- любящие всё подряд зачислять в таковую сами хоть что-то сделали пусть на три порядка менее, но востребованного, чем та "маргинальщина"?..

    Те, кто руками да головой работает -- обычно стараются учиться на чужих ошибках.  А кто не работает -- ошибается в сам[I]о[/I]м своём мировоззрении.

     
     
  • 3.23, Аноним (-), 13:54, 22/04/2015 [^] [ответить]    [к модератору]  
  • +/
    Однако при всей невкусности его утверждения, есть и вполне валидный пойнт: малопопулярный софт хуже протестирован, поэтому там могут попадаться весьма брутальные баги.
     
     
  • 4.25, Michael Shigorin (ok), 14:01, 22/04/2015 [^] [ответить]    [к модератору]  
  • +/
    > Однако при всей невкусности его утверждения, есть и вполне валидный пойнт:

    Не-а.  Тут если и говорить, то о двух сторонах медальки, как обычно.

    > малопопулярный софт хуже протестирован,
    > поэтому там могут попадаться весьма брутальные баги.

    Использование "малопопулярного" софта на практике давно известно как один из слоёв защиты вроде той же security through obscurity: гарантии не даёт, но временные и прочие затраты на преодоление увеличивает.  Причём мне в своё время такую рекомендацию выдал один из людей, у которых *nix и учился -- весьма матёрый безопасник, среди прочего...

     
  • 1.35, КарМер (?), 18:09, 24/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    И что сынку, помогла тебе серебрянная пуля ?!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor