OpenSSH expolit - upgrade javasolt 3.3 -ra

Hmm. Ez az egész exploit ügy egyre rázósabbnak tűnik. Olvasom a bugtraq listán Theo de Raadt levelét.
http://online.securityfocus.com/archive/1/278755/2002-06-23/2002-06-29/0

Ebben azt írja, hogy majd jövő héten fogja publikálni az általa és az IIS által talált hibát, egyidejűleg ajánla az OpenSSH 3.3-ra upgrade-et. A levélben leírja, hogy ez önmagában nem elég, az sshd_config-ban be kell állítani a

UsePrivilegeSeparation yes

opciót is. Na itt jönnek a rázós részek.

Theo de Raadt tisztában van azzal, hogy a 3.3 _nem tartalmaz javítást a közeljövőben bejelentendő hibára_ (!), mindössze megnehezíti/lehetetlenné teszi annak kihasználását. Továbbá azt is írja, hogy a 3.3 esetleg hibásan is működhet ("Depending on what your system is, privsep may break some ssh functionality."). A hiba természetéről részleteket viszont nem hajlandó elárulni, és a levélből az sem derül ki, hogy az OpenSSH készítői mennyit tudnak a hibáról.

Szubjektív vélemény következik, kéretik úgy is kezelni: Nekem az egész úgy bűzlik, ahogy van. A levél ebben a formájában elsősorban bizalmatlanság keltésére alkalmas, érdemi munkára nem. A security világban bevett szokás, hogy egy felfedezett hibáról először értesítik a gyártót, és egy (lehetőleg rövid, de legalább egy hét) idő után a hibát nyilvánosságra hozzák, remélhetőleg a gyártó által elkészített patch megjelenésével egyidejűleg, vagy utána.

Ha azonban a jövő héten tervezik bejelenteni a hibát, akkor a gyártónak már tudnia kéne konkrétumokat, hogy megtehesse az ellenlépéseket. Ennek semmi jele.

A hibán Theo de Raadt az ISS-sel együtt dolgozik. Az ISS jelentette be a múlt héten az Apache bugját is, anélkül, hogy erről a gyártót korábban értesítette volna. Küldött ugyan patchet is a hiba javítására, de nyilván nem ugyanaz, mint a gyári patch (első vélemények szerint nem is szüntette meg teljes egészében a hibát).

Az opensource világnak két meglehetősen fontos programjáról van szó, és mindkét esetben eltér a bevett szokástól a hibák bejelentése. Nem az a célja az ISS-nek (és Theo de Raadtnak), hogy bizalmatlanságot keltsen az opensource rendszerekkel kapcsolatban?

Hmm. Mi oka lenne ra? Az OpenSSH, ugy mint az OpenBSD is de Raadt projectjei valamilyen szinten. Ha bejelentene, hogy az OpenSSH nem megbizhato, mert tavolrol kompromittalhato, es neki fogalma sincs arrol, hogy hogyan javitjak a hibat, azzal csak sajat magat aztatna el.

Szerintem arrol van szo, hogy valaki felfedezte a hibat, jelentette de Raadtnak, a kis team nekiallt elkesziteni a patchet. Addig amig a patch el nem keszul - ertheto okobol - nem adjak ki a hiba leirasat.

www.OpenSSh.org

"A yet undisclosed vulnerability exists in OpenSSH. You are strongly encouraged to upgrade immediately to OpenSSH 3.3 with the UsePrivilegeSeparation option enabled. Privilege Separation blocks this problem. Keep an eye out for the upcoming OpenSSH 3.4 release on Monday that fixes the vulnerability itself."

Tehat a hirek szerint hetfon megjelenik az OpenSSH 3.4, amely magat a hibat fogja javitani.

Addig workaround: mindenki hasznalja a

UsePrivilegeSeparation yes

dolgot a sshd_config-ban. Es imadkozzon a nagy manituhoz, hogy ne az o gepet torjek meg ;)