Fontos OpenSSH biztonsági javítások érkeztek

 ( trey | 2016. január 15., péntek - 10:43 )

Tegnap délután Theo de Raadt nem szokványos módon egy előzetes figyelmeztetést küldött a misc@ OpenBSD listára, amelyben arról írt, hogy fontos OpenSSH biztonsági frissítés érkezik és az érkezéséig minden operációs rendszeren elővigyázatosságból mindenki adja hozzá az ssh_config-jához a nem dokumentált "UseRoaming no" sort, vagy használja a "-oUseRoaming=no" kapcsolót, hogy védve legyen a CVE-2016-0777 OpenSSH kliensoldali buggal szemben. Vagyis a workaround:

echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config"

Az összes OpenSSH verzió érintett 5.4-től 7.1-ig. Később megérkezett a Portable OpenSSH 7.1p2 kiadása.

[ részletek | Qualys figyelmeztető | FreeBSD port frissítve | MacPorts frissítve | Ubuntu USN | Debian DSA ]

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Engem baromira erdekelne, mi vezet valakit arra, hogy undocumented, experimental feature default on legyen?

--
|8]

Szenilitás?

Pedig allitolag az OpenBSD forrasba nem kerul be semmi amig 100%-ig nem tuti es nem lett leokezva, ugyhogy a ganyolas kizarva! ;)

OpenBSD == OpenSSH?

Amúgy egyetértek.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

"As an example of the effect OpenBSD has, the popular OpenSSH software comes from OpenBSD."

http://www.openbsd.org/

HTH

Oké, ez így rendben van, csak a hirtelen kontextusváltás volt elsőre fura.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

btw ez most akkor remote sebezhetosegnek szamit?

Valaki remote sebezhetőségnek hívja, valaki client-side-nak, mint a böngésző sérülékenységeket. Az OpenBSD nem fogja beleszámolni a saját kis hamis "Only two remote holes in the default install" szlogenjükbe, ha erre gondolsz. :)

arra:)

Ennyi az opció megjelenésekor a szűkszavú bejegyzés, ebből nem derül ki, hogy alapértelmezett lett volna:


openssh-5.3p1/Changelog

-

2009/10/24 11:23:42
[ssh.c]
Request roaming to be enabled if UseRoaming is true and the server
supports it.
ok markus@


Az undocumented gondolom azt jelenti, hogy nem szerepel a man oldalon és elfelejtették azt az apróságot beleírni a Changelogba, hogy alapértelmezetten be van kapcsolva.

Hány ilyen lehet még? Csak reménykedem, hogy nem szándékos...

Kis statisztika az SSH opciók számának alakulásáról az elmúlt ~8 évben:

2009.10.01 5.3p1 72db
2016.01.16 7.1p2 91db

-s-

fasza. ezt is jókor tudom meg. lehet azért ennél többet kellene erre (is) járnom.

"...allows a malicious SSH server to steal the client's
private keys..."

hurrá, csókoltatom a fejlesztőket ! legalább nem serveroldali bug, az pár fokkal rosszabb lenne / pozitív hozzáállás rulez / :-))))

off:
asszem rendszerfrissítés lesz meccs szünetbe. (107 csomag hijj! picit elhanyagoltam a dó'gokat.)

féligoff:
gyors kérdés hátha valaki erre jár:

kernelben 3.14.58 és 3.14.61 között van valami vészes bug, vagy az valamennyire ráér ? :-))

ez is frissítve, kérdés okafogyottá vált.

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.