35+ éves biztonsági hibát fedeztek az OpenSSH scp-jében

 ( trey | 2019. január 15., kedd - 10:09 )

Részletek a figyelmeztetőben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Már látok egy jelöltet a 2019-es HOVD "Az év vebezhetősége" kategóriára. :)

Ugyanez mehet az év javítása kategóriába is...

2018-as a sebezhetőség, de csak most lett nyilvános, 5 hónappal a kiderülése, 2 hónappal a javítása után :)
Szerk: sőt, ez igazából az 1983-mas év sebezhetősége.

Addig nem is lehet komolyan venni egy ilyen hibat amig nincs neki valamilyen clickbait elnevezese...

2018.08.08  initial discovery of vulnerabilities #1 and #2
2018.08.09  reported vulnerabilities #1 and #2 to OpenSSH
2018.08.10  OpenSSH acknowledged the vulnerabilities
2018.08.14  discovered & reported vulnerability #3 to OpenSSH
2018.08.15  discovered & reported vulnerability #4 to OpenSSH

A lényeg, hogy opensourcenál nem kell hónapokat várni, mint a Microsoftnál.

OpensshDev Józsi aug elején épp az éves szabadságát töltötte a horvát tengerparton, nem ért rá vele foglalkozni.
--

Ez most irónia akart lenni?
2018.11.16 OpenSSH fixed vulnerability #1
3 hónappal a bejelentés után történt a fix.

Hát igen, gyakran olvasni itt, hogy a béna MS nem képes pár nap alatt fixálni a hibákat, bezzeg az opensource projektek akár még aznap... :)

Még jó, hogy te olyan okos vagy, hogy időben eszedbe jutott! :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

>> 3 hónappal a bejelentés után történt a fix.

... az első hibára a négyből

Pont olyan érzésem van, mint a Shellshocknál volt: "Ez nekem miért nem jutott eszembe??" :)

Nem elsősorban biztonsági szempontból, de sokak szerint 2019-ben eleve gigagáz, hogy SSH-t használunk (alaptechnológia 1969-ből, hisz ez prinzipiell lehetne akár telnet is).

Miért, mit kellene használni távoli hozzáférésre SSH helyett?

Hát telnetet, most biztos az a menő!

+1

> sokak szerint 2019-ben eleve gigagáz, hogy SSH-t használunk
Citation needed. Es mit ha nem ssh-t?
____________________
echo crash > /dev/kmem

Kik azok a sokak? Mi a baj az ssh-val? Nem trendi?

plz elaborate

-------------------------
Roses are red
Violets are blue
Unexpected '}' on line 32

"sokak szerint"

Biztos barlangban élek de egy ilyen emberrel se találkoztam :)

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Mert nem ismered Sokak Jóska rendszergazdát!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Do tell...

olvasd el mi a hiba, nem az ssh-ban van

Tenyleg fejtsd ki!

Szerintem az SSH nagyon hasznos eszkoz, es a "telnet-szeru" felhasznalas csak az egyik funkcioja (bar a titkositas resze azon is dob egyet).

Ugye ott a kulcs/hw token alapu azonositas, amit alapbol nem tud a telnet. Aztan a tunnelek, az scp, sshfs, X forward, es egyeb hasznos dolgok. Telnet talan olyat sem tudott, hogy a tavoli gepen a parancs kimenetet ezen a gepen futo programba kuldje tovabb.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

"35+ éves biztonsági hibát fedeztek az OpenSSH scp-jében"
:D

Inkább: 35+ éves biztonsági hibát fedeztek fel az OpenSSH scp-jében

----
FreeBSD, Solaris, blackPanther

Francot! 35+ évig fedezték, de aztán végül csak kiderült...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

"scp allows a malicious server"

Könyörgöm, ha a szerver amihez csatlakozol az "malicious", azellen nem véd.
a hibátlan kliens sem.

--
zrubi.hu

AD/Kerberos-ról hallottál már? Mutual authentication-ről? Ezeknél a szervernek is szokása magát a kliens felé azonosítania.
--

hókuszpókról, a gonoszról is hallottam, csak nem értem hogy jön ez ide :D

--
zrubi.hu

hókuszpók pl. sehogy :)
--

Pedig ez egy classic chewbacca-védelem vót! :))

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Nagyon nem mindegy, hogy a feltört szerver „csak” megismeri a jelszavamat és esetleg korrupt fájlt küld a kért helyett, vagy pedig bármelyik másik fájlomat is felülírhatja, mondjuk a helyi .bashrc-be berak egy kis kódot ami nekiáll a vinyóm teljes tartalmát feltölteni a támadó egyik szerverére. Ez a hiba arról szól, hogy ha a távoli gép fel van törve, és onnan másolok, akkor ezzel esélyes hogy a helyi gépemet is feltörték. Ez nagyon durva hiba.

Értem, hogy nagy hiba, csak szetrintem ha feltört szerverhez csatlakozol, akkor már nincs olyan nagy különbség a bugos kliens és a hibátlan kliens esete között... ha a szerver akar, mindenképp megszivathat.

Éppen ezért szerintem sokkal kisebb a valós veszély az olyan hibáknál, ahol a kihasználásához az egyik feltétel a már eleve feltört/kompromittált/evil szerverhez való csatlakozás.

Ettől függetlenül a bug nyilván durva, az nem vitás.

--
zrubi.hu

Az én szemszögemből nézve, legalábbis ami a szándékot illeti, nincs olyan, hogy "feltört szerverhez csatlakozom" kontra "rendben lévő szerverhez csatlakozom". Egy szerverhez csatlakozom, aminek az állapotát nem ismerem, maximum egy bizonyos bizalmi fokot tudok tippelni a karbantartása mértéke, karbantartói személye stb. alapján.

> ha a szerver akar, mindenképp megszivathat.

Hát azért a "nem azt adja ide amit kérek" kontra "elkezd garázdálkozni az én gépemen" nagyon de nagyon nem ugyanaz!

+1

"Man-in-the-Middle attack does require the victim to accept the wrong host fingerprint."

Itt most -ugy altalaban veve- nem MITM attackrol van szo.
____________________
echo crash > /dev/kmem

De arról van szó, hogy egy meghackelt rendszerhez csatlakozol, nem?

Arrol. Az mitol MITM?
____________________
echo crash > /dev/kmem

+1

sub

-