35+ éves biztonsági hibát fedeztek az OpenSSH scp-jében

Bug

Részletek a figyelmeztetőben.

( traktor | 2019. 01. 15., k – 09:17 )

Már látok egy jelöltet a 2019-es HOVD "Az év vebezhetősége" kategóriára. :)

( Hunger | 2019. 01. 15., k – 09:50 )


2018.08.08  initial discovery of vulnerabilities #1 and #2
2018.08.09  reported vulnerabilities #1 and #2 to OpenSSH
2018.08.10  OpenSSH acknowledged the vulnerabilities
2018.08.14  discovered & reported vulnerability #3 to OpenSSH
2018.08.15  discovered & reported vulnerability #4 to OpenSSH

A lényeg, hogy opensourcenál nem kell hónapokat várni, mint a Microsoftnál.

( egmont | 2019. 01. 15., k – 12:11 )

Pont olyan érzésem van, mint a Shellshocknál volt: "Ez nekem miért nem jutott eszembe??" :)

( szerjozsa | 2019. 01. 15., k – 17:22 )

Nem elsősorban biztonsági szempontból, de sokak szerint 2019-ben eleve gigagáz, hogy SSH-t használunk (alaptechnológia 1969-ből, hisz ez prinzipiell lehetne akár telnet is).

Tenyleg fejtsd ki!

Szerintem az SSH nagyon hasznos eszkoz, es a "telnet-szeru" felhasznalas csak az egyik funkcioja (bar a titkositas resze azon is dob egyet).

Ugye ott a kulcs/hw token alapu azonositas, amit alapbol nem tud a telnet. Aztan a tunnelek, az scp, sshfs, X forward, es egyeb hasznos dolgok. Telnet talan olyat sem tudott, hogy a tavoli gepen a parancs kimenetet ezen a gepen futo programba kuldje tovabb.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

( nevergonealfa | 2019. 01. 15., k – 21:25 )

"35+ éves biztonsági hibát fedeztek az OpenSSH scp-jében"
:D

Inkább: 35+ éves biztonsági hibát fedeztek fel az OpenSSH scp-jében

----
FreeBSD, Solaris, blackPanther

( zrubi v | 2019. 01. 16., sze – 09:49 )

"scp allows a malicious server"

Könyörgöm, ha a szerver amihez csatlakozol az "malicious", azellen nem véd.
a hibátlan kliens sem.

--
zrubi.hu

Nagyon nem mindegy, hogy a feltört szerver „csak” megismeri a jelszavamat és esetleg korrupt fájlt küld a kért helyett, vagy pedig bármelyik másik fájlomat is felülírhatja, mondjuk a helyi .bashrc-be berak egy kis kódot ami nekiáll a vinyóm teljes tartalmát feltölteni a támadó egyik szerverére. Ez a hiba arról szól, hogy ha a távoli gép fel van törve, és onnan másolok, akkor ezzel esélyes hogy a helyi gépemet is feltörték. Ez nagyon durva hiba.

Értem, hogy nagy hiba, csak szetrintem ha feltört szerverhez csatlakozol, akkor már nincs olyan nagy különbség a bugos kliens és a hibátlan kliens esete között... ha a szerver akar, mindenképp megszivathat.

Éppen ezért szerintem sokkal kisebb a valós veszély az olyan hibáknál, ahol a kihasználásához az egyik feltétel a már eleve feltört/kompromittált/evil szerverhez való csatlakozás.

Ettől függetlenül a bug nyilván durva, az nem vitás.

--
zrubi.hu

Az én szemszögemből nézve, legalábbis ami a szándékot illeti, nincs olyan, hogy "feltört szerverhez csatlakozom" kontra "rendben lévő szerverhez csatlakozom". Egy szerverhez csatlakozom, aminek az állapotát nem ismerem, maximum egy bizonyos bizalmi fokot tudok tippelni a karbantartása mértéke, karbantartói személye stb. alapján.

> ha a szerver akar, mindenképp megszivathat.

Hát azért a "nem azt adja ide amit kérek" kontra "elkezd garázdálkozni az én gépemen" nagyon de nagyon nem ugyanaz!