На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-9-18 на главную / новости от 2003-9-18
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 18 сентября 2003 г.

Пробел в защите SSH обнажает сети

В SSH обнаружена серьезная ошибка, ставящая под угрозу серверы во всем мире.

SSH — это широко используемая оболочка защищенного дистанционного управления для платформ Unix, Linux и BSD. Эксперты утверждают, что злоумышленники многие месяцы пользовались уязвимостью для получения несанкционированного доступа к системам.

Секьюрити-сообщество не сразу распознало угрозу, но вчера робкие подозрения и слухи превратились в тревожное предостережение. Главный специалист американской фирмы eEye Digital Security Марк Мейффрет сообщил по телефону ZDNet Australia, что угроза может оказаться очень серьезной. «Для большинства сетей это практически отмычка», — сказал он.

Для Unix-систем не редки случаи, когда уязвимость эксплуатируется подпольным сообществом месяцами, говорит Мейффрет. «С уязвимостями SSH такое случалось и раньше... это явно больная тема для Unix-уязвимостей».

Специалист по защите данных Марк "Simple Nomad" Лавлес, сотрудничающий с BindView Corporation, не сомневается в существовании эксплойта для данной уязвимости. «У кого-то есть эксплойт... многие заявляют, что располагают им, и похоже, что некоторые не врут», — сказал он в интервью по телефону. По его словам, уязвимы все версии OpenSSH, установленные на любых дистрибутивах Linux и BSD, исключая те, что были обновлены на версию 3.7.1 в течение последних часов.

Лавлес говорит, что на самом деле в ПО две уязвимости. «Версия 3.7 вышла рано утром, а уже через пару часов появилась версия 3.7.1. Я подозреваю, что 3.7 исправляет один баг, а 3.7.1 — другой». Однако не исключено, что существуют смягчающие факторы. «Ходят слухи о том, что для работы эксплойта необходимо, чтобы был разрешен удаленный вход в SSH на уровне root, — говорит Лавлес. — Но это только слухи». По его словам, нужно как можно скорее провести апгрейд на 3.7.1. «Код эксплойта распространится за считанные часы», — предупредил он.

CERT опубликовал рекомендации, однако они были распространены до выпуска версии 3.7.1. Патч для OpenSSH и рекомендации уже обновлены. «Все версии sshd в OpenSSH до версии 3.7.1 содержат ошибки управления буфером. Пока не ясно, возможно ли использование этих ошибок, но мы советуем не медлить с их устранением», — говорится в рекомендации. 

 Предыдущие публикации:
2002-10-03   ФБР назвала самые опасные уязвимости
 В продолжение темы:
2003-10-02   Правительство нашло ошибки в ПО с открытым исходным кодом
Обсуждение и комментарии
!Наблюдатель!
18 Sep 2003 1:12 PM
Странно, что в статье говорится про вчера, ко мне уведомление об этой уязвимости пришло еще 2-а дня назад.
 

Black *.sh
18 Sep 2003 1:46 PM
обнажает говорите..
хакеры к получению оргазма всегда готовы..
 

Mossy
18 Sep 2003 1:48 PM
( apt-get dist-upgrade )
О да... Это пи#дец, он крыльями машет.
 

Black sh.*
18 Sep 2003 2:50 PM
но странно другое почему виндузятники молчат?
или затаились перед нападением?
все перехожу на ДОС.
 

ironwit - ironwitpisem.net
18 Sep 2003 2:53 PM
sh.*
В ДОсе же нет sh :)
 

виндузятник
18 Sep 2003 3:02 PM
>но странно другое почему виндузятники молчат? < да пробиться не можем через эти гребанные хосты под линухом (чисто для того, чтобы посочуствовать) ... все уже попадали
 

Black sh.*
18 Sep 2003 3:53 PM
2 ironwit : Back Bat -это другой человек.
 

C3Man - semdiyahoo.com
18 Sep 2003 5:21 PM
вот теперь попробуйте только заикнутся про "дырявый" видовз. как я понимаю - это похуже дырки в RPC будет.
 

C3Man - semdiyahoo.com
18 Sep 2003 5:23 PM
2Black sh.*:
а когдаж это виндоузятники плясали на чужой могтле а? вот энта дырка - доказательство теории - что дыры есть везде - в витде их находят больше - так как юзается она больше.
 

miketiv
18 Sep 2003 5:46 PM
"в винде их находят больше - так как юзается она больше".
А меня удивляет как там вообще что-то находят, при закрытом-то коде. Если код винды приоткрыть для всех, то ей вообще за 10 минут кранты полные будут, пожалуй.
 

Федор
18 Sep 2003 6:00 PM
2 miketiv Ну учитывая, что код открыт многим университетам, то это заявление довольно странное
 

miketiv
18 Sep 2003 6:21 PM
Про это не знал. Т.е. каждый студент могет винду посмотреть?
Так это университеты лепят на винду вирусы :))
 

Blakc *.sh
18 Sep 2003 6:24 PM
2 miketiv
5 баллов.
нет вобщето это наши росияские ФСБшини высирыс пладят ( ООО Атлас у них есть исходники виндов)..
 

miketiv
18 Sep 2003 6:59 PM
не, ФСБ получило исходники не так давно, а вирусы и черви давно существуют. И потом, если они что-то найдут, то на вирусы распыляться не будут, а приберегут дырочку для дела.
 

Black Bat
18 Sep 2003 8:28 PM
Так-так
 

Qrot
18 Sep 2003 10:22 PM
ик. ой, ик. мама родная.. все версии? ой, мама... пойду патчиться..
 

eXOR
19 Sep 2003 2:08 AM
Дыкть бля.. дайте ж эксплоит подержать. Или описание подробное уязвимости чтобы написать его...
 

Skull - sibskullmail.ru
19 Sep 2003 5:29 AM
2C3Man: "попробуйте только заикнуться про "дырявый" видовз" - "Ходят слухи о том, что для работы эксплойта необходимо, чтобы был разрешен удаленный вход в SSH на уровне root, — говорит Лавлес. — Но это только слухи" - и это специалисты по секьюрити? Бабки базарные... :)
Если честно, то что уж сравнивать возможности по удалённому администрированию Unix и Windows?? :-\

> в винде их (дыр) находят больше - так как юзается она больше.
Не смешите мои тапочки! Когда Винда дорастёт до bugs.kde.org - тогда поговорим. А так, дети они малые. Хоть и больше распространены. :)
 

AT - 220220pager.icq.com
19 Sep 2003 5:43 AM
bugs.kde.org -> ???
windowsbeta.microsoft.com, betaplace.com
 

Yuri Abele
19 Sep 2003 9:13 AM
To Skull:
>> Если честно, то что уж сравнивать возможности
>> по удалённому администрированию Unix и Windows?? :-\
Ну и что же тут не хватает Windows в сравнении с UNIX?
 

---
19 Sep 2003 9:19 AM
Фигня это всё - насчет пролома ssh.

Там достаточно трудно реализуемые условия для реально работающего
exploit-a. К тому же есть подозрение, что не на всех платформах этот
exploit вообще раелизуем. Надо будет проверить на SPARC
с отключеным noexec_user_stack (БЛИН! лениво перегружаться).

Желающие могут сами проанализировать патч с http://www.openssh.com/txt/buffer.adv
 

Другой видузятник
19 Sep 2003 9:35 AM
"Для Unix-систем не редки случаи, когда уязвимость эксплуатируется подпольным сообществом месяцами" - хакеры под линукс использует дыры для дела, тихо тырят данные/бабки из "защищенных систем", хакеры под win наоборот делают много мелких пакостей, чтобы шум был и крики "эпидемия, эпидемия!". Мне кажется, что имидж "защищенной ситемы" специально культивируется определенным "сообществом", чтобы лечить мозги всяким фанатам open source и под шум криков "linux forever!" тихонько рулить чужими серверами.
PS: Если у вас нет мании преследования, это не значит, что за вами не следят :)
 

dem
19 Sep 2003 9:57 AM
2Yuri Abele вот apt-get update; apt-get upgrade и не хватает...
А есть еще и apt-get dist-upgrade;
Кроме того я был достаточно приятно обрадован тому что приобновлении мне не пришлось жать NEXT 888 раз потом агри и читать read.me а вся инфа по обновлению сама пришла мне в почтовый ящик. Итого чтобы пропатчить 5 серверов от бластера пришлось потратить сутки, а чтобы пропатчить 5 серверов от SSH bug - 15 минут. А буде их 50 или больше тоже 15 минут было-бы т.к. там уже препаре вор нетворк упдате и в путь...
 

dem
19 Sep 2003 9:59 AM
2Другой видузятник Не дырки они везде - это понятно. Только RPC выключить не получится а вот SSH у меня торчит только на внутренние интерфейсы....
 

Прохожий
19 Sep 2003 10:44 AM
2dem: "Только RPC выключить не получится" - неужели, а как же MS ISA сервер? По умолчанию в нем ВСЕ порты/протоколы на внешних интерфейсах закрыты, для каждого порта/протокола надо создавать разрешающее правило.
 

Maverik
19 Sep 2003 10:55 AM
На опеннете говорят, что максимум опасности -- DoS. Там в результате ошибки стек в любом случае нулями заполняется.
 

-
19 Sep 2003 10:58 AM
2dem:

и что вызвало такие сложности с установкой апдейта, что потребовалось на каждый сервер по 4.5 часа? Или 4.4 часа вы курили пиво, а остальное время ставили?
 

blacklion - blacklionroutec.net
19 Sep 2003 11:03 AM
вот народ однако упрямый и странный. как весь прошлый месяц windows колбасило багами ужас, а тут из за одного бучу подняли. да такую что наводит на мысль о застарелых комплексах =)
 

dem
19 Sep 2003 11:22 AM
2- А то что на рабочий сервер от МС без перезагрузки ничего не поставишь... Да еще и протестировать пришлось. А на deb еще ни разу небыло кривого обновления за 3.5 года....
 

ntsm
19 Sep 2003 11:35 AM
миф о секурности линуха протух и от него уже воняяет, расскажите что-нибудь новенькое, господа ... например кто сможет в ближайшие годы проспонсировать разработку, т.к. ибм вряд ли опять рискнет, есть ли вообще какиелибо сильные аргументы за то, чтобы поставить хотя бы слегка на линукс, кроме "свободы" и прочей идеологической ахинеи
 

---
19 Sep 2003 11:59 AM
2ALL, кто работает с unix like OS:
Кто-нибудь ставил openssh-3.7.1 ? Там интересный глючок вылез (причем непонятно чей - скорее всего в программе putty - см. http://www.chiark.greenend.org.uk/~sgtatham/putty/ ). При попытке зайти на сервер с openssh-3.7.1 ч-з программу putty ей приходит отлуп "Incorrect password". При этом с любого *ix заход ч-з ssh|openssh и прочие ssh клиенты проходит без проблем. Может у кого есть время проверить putty ?
Она раздаётся с исходными текстами...
 

Black *.sh
19 Sep 2003 1:47 PM
люди обясните мне зачем вообще нужен SSH?
мне вполне хватает и telnetа .. а что все что я набивают идет открутым текстом я знаю.
ну и что.
 

Black *.sh
19 Sep 2003 1:49 PM
да гораздо хуже знать что все зашифврованао и надесят чем знать что тебя подслушивает дяля маойр.. и говрить на политечиские темы с учетом этого..
 

dea
19 Sep 2003 2:41 PM
2 Black *.sh

ну так опубликуй здесь пожалуйста свой логин, пароль и адрес хоста, все равно ты знаешь что он идет открытым текстом ;-))))
 

Пётр
19 Sep 2003 3:26 PM
слушайте а виндовую версию SSH эта проблема задела?

2 dem. Кто же мешает не открывать RPC наружу? Зачем он там вообще нужен?
 

Black sh.*
19 Sep 2003 3:27 PM
ну в первых раздать все это одно.
а насчт ткрытого текста это только на промежуточных узлах должен сидеть друг...
ще ну сорри конечно у нах 23/21 порты закрыт и ssh тоже закрыт fire. так что сории даже могут дать.. :).
ну не в этом дело.. тут любители исаользовать даже внутри корпаративнйо сети ssh( точне даже и его не использыубт).. те telnet на большинстве машин просто закрыт даже для всей сети.. ОЧЕНЬ УДОБНО работать. саначало пл дня договариваешься как бы мне на втой комп зайти и user завет и все прочее..а только rlogin ну никак.. производительность растет охренительнсо с этой безопасностью параноей.. и главное что их там ломать.. понимаю что на CVS сервер странно все отрктым оставлять..
НО ВЗЛОМАЮт только свои... и в принипе если очень хотеть то и rlogin можно ломануть.. параноя это все.. а вот когда надо всего для того что бы фалы сокпировать пол дня бегать.. все то того что бы ftp.. и все. у меня лично ftp открыто( для локалки. для внешнеого fireware есть). хотя понимаю может какой фирсу навороченый будет под Linux и мое ftp грохет.. ( но сорри вероятность это такая же как если винт сломается..- так что если расичтывают что все защищено А НА САМА деле есть какое то узкое месте ( только человек не думает об этом) ЛУЧШЕ ЗНАТЬ ЧТО НЕ ФИГА НЕ ЗАЩИЩЕНО и и поступать из этих соображений. может я не прав. ( но это все имет смылс только к unix)... что товрилось у виндузятников.. описать сложно.. какие ТАМ SSH.. ftp или rloginы..
 

dea
19 Sep 2003 6:52 PM
2 Black sh.*
слушай, у тебя совесть есть? или ты считаешь что все должны получать наслаждение от расшифровки твоей абракадабры?
Лень писать нормально - не пиши вообще.

а по существу - у тебя слишком наивные (точнее безбожно устаревшие) представления о целях и способах безопасности, рекомендую привести их в соответствие с современностью, а не флеймить в форумах.
 

Black *.sh
19 Sep 2003 6:58 PM
ну ну. правильно надо не пешком ходить а в ТАНКЕ ездить.
какой я оставля все друзья уже себе прикупити Т37.7.1 а я до сих пор на феловепеде Telnet езжу. ( и Админ мой меня не по головке гладит а ШЛЕМО ШЛЕМОК дубасит..)..
 

VicTor
19 Sep 2003 11:08 PM
2dea:
Читайте быстро :)

"По рзелульаттам илссеовадний одонго анлигйсокго унвиертисета, не иеемт занчнеия, вкокам пряокде рсапожолена бкувы в солве. Галвоне, чотбы преавя и пслоендяя бквуы блыи на мсете. Осатьлыне бкувы мгоут селдовтаь в плоонм бсепордяке, все-рвано ткест чтаитсея без побрелм. Пичрионй эгото ялвятеся то, что мы не чиатем кдаужю бкуву по отдльенотси, а все
солво цликеом."
 

C3Man - semdiyahoo.com
19 Sep 2003 11:45 PM
LOL@VicTor

Black а что за зверь такой - "феловепед"?
 

glassy
20 Sep 2003 8:13 AM
Странно. Статья сильно опоздала
Я отключил sshd неделю назад, если не раньше, три дня назад набрал-таки ./configure --prefix=/usr ; make ; make install
sshd 3.7.1p1
 

glassy
20 Sep 2003 8:41 AM
http://swsusp.sourceforge.net/
клево... давно хотел
 

Mossy
22 Sep 2003 12:03 AM
Я что-то не понял...
ssh очень удобная штука... В чем проблемы? Чем rlogin лучше?
 

dem
22 Sep 2003 9:28 AM
Вообще R* утилиты традиционно считаются более дырявыми и не рекомендуются к употреблению. А так что ssh что r* что телнет одна фигня.

2 --- OpenSSH_3.4p1 + Путти полет нормальный... Ты проверь может у тебя с юниксов ключи генерятся каждый раз или еще чего?

2Пётр а вот сходили-бы и обьяснили на bugtraq.ru людям что можно RPC с наружи закрыть.... А то они спустя 2-е суток решили что нельзя без MS ISA север... :)
 

PTO - ptokgb.ru
22 Sep 2003 9:59 AM
2 dem: закрыть не вопрос, у меня вон машинка с 1997 года стоит в интернет без всяких файрволлов - РПЦ на ней закрыт... более того, я еще в своих статьях писал КАК оно закрывается - февраль 1998 на англицком и октябрь на русском вышла
 

Blakc *.sh
22 Sep 2003 11:11 AM
PTO круто. это же "закрытие" века.
прошлого правда. а вот я почему-то не догадался ssh поставить что бы его сейчас "закрыть".
 

Волонтер
22 Sep 2003 11:46 AM
2 PTO:
Я в отпуск в Санк-Петербург собираюсь. Ссылку на нормальную контору не подбросите? Сертификат + обучение C# MS в Питере? Начну с MCP.
 

PTO - ptokgb.ru
22 Sep 2003 1:13 PM
2 Волонтер: какого профиля контору? учебный центр?
я вот этих ребят в Питере знаю хорошо
http://www.digdes.ru/training/courses/MS2349.html
если по виндам курсы, то в Эврике очень мне понравился ихний тренер http://www.eureca.ru/education/microsoft/win2003/
в Эврике же и центр тестирования VUE, где можно сдать экзамены (сертификат присылают потом)
 

!Наблюдатель!
22 Sep 2003 3:33 PM
2PTO
Я не раз сталкивался с браком и полнейшим наплевательством со стороны Эврики, так что любое упоминание об этой фирме вызывает только неприязнь. Я не очень верю, что у этой фирмы может быть что-то хорошее. Могу привести десятки примеров брака и тех. специалистов, которые от одного упоминания слов "фирма Эврика" начинают матерится.
 

PTO - ptokgb.ru
22 Sep 2003 5:07 PM
2 !Наблюдатель!: перечитайте - я говорил про ихнего тренера, не про эврику или еще чего - можете идти и слушать курсы в ДигДезе (надеюсь к ним претензий нет?). Сдавать экзамены можно в Эврике - у них там тестовый центр открыт. В учебном классе Эврики я был - вполне нормальный класс, оборудован, тренеры неплохие...
 

Волонтер
22 Sep 2003 5:30 PM
2 PTO:
Спасибо.
 

PTO - ptokgb.ru
22 Sep 2003 6:12 PM
2 Волонтер: да не за что... я сам на днях в питер собираюсь сгонять, есть с кем повстречаться и вопросы порешать, да и люблю я зело город этот
 

eXOR
23 Sep 2003 11:33 PM
2 glassy:
Rulezz... а то на ноуте все время питание на памяти оставалось... :-))).
 

glassy
24 Sep 2003 6:59 PM
exor: но чтобы воспользоваться всеми его прелестями, мне надо выбросить свою i810 (иксы просто морозят...), что есть экономически невыгодно :) Пусть аптайм крутит :)
 

eXOR
27 Sep 2003 6:59 AM
2 glassy:
За создание i810 надо расстреливать. Кривейшее решенние.
 

glassy
28 Sep 2003 5:57 AM
ага, давеча заметил, что GL у них тоже только в 16бпп работает, то есть по 4 бита на ARGB -- даже dithering как мертвому припарка :(
 

eXOR
28 Sep 2003 6:06 PM
2 glassy:
Серьезно? Я просто GL вообще у них не видел....
 

glassy
30 Sep 2003 7:48 PM
А по игрушкам незаметно, той же третьей кваке. 4 тысячи цветов :)
 

 

← август 2003 12  15  16  17  18  19  22  23  24 октябрь 2003 →
Реклама!
 

 

Место для Вашей рекламы!