Hivatalos közlemény még nem született ebben az ügyben, de az információk alapján nyilvánvalónak tűnik, hogy a portolható OpenSSH előállítási fázisában valahol egy feltört számítógép is részt vesz. Az kódot tartalmazó CVS szerveren épek a fájlok.
A bf-test.c és annak kimenete megtalálható a következő címeken:
http://www.mavetju.org/~edwin/bf-test.c
http://www.mavetju.org/~edwin/bf-output.sh
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
cool. azert ez az utolso ket honap nem az openbsd csapat honapja volt. lassan le is vehetik a biztonsagrol szolo szlogenjuket. amennyi hiba van az openssh csomagban az utobbi idoban annyi nem volt osszesen a sendmail+bind rettegett parosban :(
es az hogy egy megtort geprol kerult fel a backdoor... erre mit mondjak? nem openbsd gepeken keszitik az openssh-t? ami szerintuk a vilag legbiztonsagosabb rendszere? vagy csak nem kello figyelemmel keszitettek a csomagokat? nem kello figyelemmel valasztottak ki a fejlesztesben resztvevo embert?
nagy gond ez mert a vilag unix gepeinek szerintem a 90% openssh-t hasznal. es az hogy a kodban van hiba, istenem, ameberek keszitik ezt is. de egy backdoor az a figyelmetlenseg jele, nem prodram design vagy implementacios hiba.
- A hozzászóláshoz be kell jelentkezni
Azért nem minden enyire fehér-fekete :-)
Ha jól értem, akkor "csak" a portokat érinti a dolog. Vagyis a nem openbsd-n futó openssh-t. Ezzel persze még nem lesz nyugodtabb éjszakám! :-)
És tegyük hozzá, hogy ahogy én értelmezem a hírt, nem a fejelsztői szervert törték meg. Vsz. vmelyik fejlesztő gépét nyomták meg, és azon keresztül juttatták be a csúnyaságot.
Az mindenesetre megnyugtató, hogy a debian-ban levő openssh orig.tar.gz-ben nincs benne ez a plussz sor a megadott helyen, és bf-test-el kezdődő nevű fájl sincs a forrásdirben :-)
Szóval akár az is lehet, hogy csak valaki beékelődött az ftp-szerver és az Edwin gyerek közé, és útközben, transzparensen toltak oda vmi. trójait.
- A hozzászóláshoz be kell jelentkezni
>Ha jól értem, akkor "csak" a portokat érinti a dolog. Vagyis a nem openbsd-n futó openssh-t. Ezzel persze még nem lesz nyugodtabb éjszakám! :-)
LOL. csak a portokat. hat imho tobb nem-openbsd gep van a vilagon, mint openbsd gep.
>És tegyük hozzá, hogy ahogy én értelmezem a hírt, nem a fejelszt?i szervert törték meg. Vsz. vmelyik fejleszt? gépét nyomták meg, és azon keresztül juttatták be a csúnyaságot.
ez a felhasznalo szempontjabol tok mindegy. a felhasznalo az ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz filet tolti le. tokmindegy kinek a hibajabol kerult oda, a felhasznalo joggal bizhat_na_ meg az openbsd ftp szervereben. de nem teheti...
>Az mindenesetre megnyugtató, hogy a debian-ban lev? openssh orig.tar.gz-ben nincs benne ez a plussz sor a megadott helyen, és bf-test-el kezd?d? nev? fájl sincs a forrásdirben :-)
most jol megnyugtattal =)
>Szóval akár az is lehet, hogy csak valaki beékel?dött az ftp-szerver és az Edwin gyerek közé, és útközben, transzparensen toltak oda vmi. trójait.
ez is mindegy. nem az a lenyeg hogy, csinaltak, hanem az hogy a torjai ott van, es vele egyutt sok ezer gepen is.
persze a fentiek cak akkor igazak, ha a hir is igaz. varjuk meg a hivatalos kozlemenyt.
- A hozzászóláshoz be kell jelentkezni
Azért, ami nagyon furcsa lehet:
openssh-3.4p1.tar.gz 821 KB 2002-07-31 16:47:00
openssh-3.4p1.tar.gz.sig 1 KB 2002-06-26 08:20:00
Vagyis, hogy a sig-nek korábbi a dátuma mint a targz-é...
Nekem már itt gyanus lenne :-)
- A hozzászóláshoz be kell jelentkezni
És igen, persze, hogy stimmel a megérzésem :-)
Naná, hogy nem lehet jó egy olyan aláírás, ami korábbi, mint amit "hitelesít" :-)
[pasztor@altair:/tmp]$ gpg --verify openssh-3.4p1.tar.gz.sig
gpg: Signature made SZE 26 JÚN 2002 16:10:52 CEST using DSA key ID 86FF9C48
gpg: Can't check signature: public key not found
[pasztor@altair:/tmp]$ gpg --keyserver wwwkeys.us.pgp.net --recv-keys 86ff9c48
gpg: requesting key 86FF9C48 from wwwkeys.us.pgp.net ...
gpg: key 86FF9C48: public key imported
gpg: Total number processed: 1
gpg: imported: 1
[pasztor@altair:/tmp]$ gpg --verify openssh-3.4p1.tar.gz.sig
gpg: Signature made SZE 26 JÚN 2002 16:10:52 CEST using DSA key ID 86FF9C48
gpg: BAD signature from "Damien Miller (Personal Key) "
Bár őszintén szólva, azt már sehogy nem tudnám leelenőrizni, hogy mi lenne, ha a "gonosz" ember kreál magának egy gpg kulcsot, és avval aláírja a kopaszgézát, és a kulcsának publikus felét meg feltölti egy publikus keyserverbe...
Dehát a "gonosz" ember ilyen apróságra már nem adott :-)
- A hozzászóláshoz be kell jelentkezni
No, még egy apróság :-)
Feltéve, hogy tényleg ennek a Damien Millernek a dolga, hogy az openssh-t hitelesítse, és tényleg az ő kulcsát töltöttem le, stb. (Erről az "erős feltételezésről" szólnak a warningok alább.)
Leelenőriztem, hogy a debian archívban levő openssh-nak az orig.tar.gz-je jó-e. Íme:
[pasztor@altair:/tmp]$ cp openssh-3.4p1.tar.gz.sig openssh_3.4p1.orig.tar.gz.sig
[pasztor@altair:/tmp]$ gpg --verify openssh_3.4p1.orig.tar.gz.sig
gpg: Signature made SZE 26 JÚN 2002 16:10:52 CEST using DSA key ID 86FF9C48
gpg: Good signature from "Damien Miller (Personal Key) "
Could not find a valid trust path to the key. Let's see whether we
can assign some missing owner trust values.No path leading to one of our keys found.
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
gpg: Fingerprint: 3981 992A 1523 ABA0 79DB FC66 CE8E CB03 86FF 9C48
És igen! A Debian archívban stimmel :-)
- A hozzászóláshoz be kell jelentkezni
de Raadt felebredhetne, hogy mondjon nehany szot a dologrol. Ahogy a misc@ levlistat olvasom, addig nem akarnak mondani semmit amig a BOSS nem kel fel. Most olyan hajnali 5-6 ora lehet ott. lassan csak felebred....
- A hozzászóláshoz be kell jelentkezni
Kíváncsi vagyok, hogy Theo gyerek ezek után kisebbre veszi-e az arcát! :))
- A hozzászóláshoz be kell jelentkezni
Kozben felmerult bennem meg egy kerdes. Miert Solarist hasznal az OpenBSD csapat main FTP szervernek?
Nem mintha a Solarissal bajom lenne, de ha en fejlesztenek egy oprendszert akkor mar csak referenciabol is azt hasznalnam. De nem?
- A hozzászóláshoz be kell jelentkezni
Hmm en ugy tudtam, hogy de Raadt otthon hostolja az egesz openbsd.org kocerajt =)
ezek szerint nem =)
- A hozzászóláshoz be kell jelentkezni