LINUX.ORG.RU

Уязвимость в клиенте OpenSSH

 ,


5

6

В клиенте OpenSSH найдена уязвимость, потенциально позволяющая утечку секретного ключа клиента.

Ошибке подвержены все версии от 5.4 и до 7.1, кроме 6.6.

Для предотвращения утечки и до выхода обновления для вашей системы рекомендуется запретить Roaming — экспериментальное и недокументированное расширение для возобновления прерванных SSH-соединений, которое разрешено по умолчанию.

echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config

На данный момент уже доступны обновления для OpenBSD и Debian.

>>> Подробности

★★★★★

А коим образом оно утечёт?

Если подключаться хрен знает куда?

a1batross ★★★★★ ()
Ответ на: комментарий от a1batross

Если подключаться хрен знает куда?

Да, если подключаться к «злому» или скомпроментированному серверу.

beastie ★★★★★ ()

Для предотвращения утечки и до выхода обновления для вашей системы рекомендуется запретить Roaming — экспериментальное и недокументированное расширение для возобновления прерванных SSH содинений, которое разрешено по умолчанию.

Как же меня это бесит! Почему нельзя просто определить базовый функционал и просто сделать его хорошо, без всяких улучшений возобновлений и ускорений???

I-Love-Microsoft ★★★★★ ()

Roaming — экспериментальное и недокументированное расширение

Версия 5.4 вышла в марте 2010. Все это время АНБ снифало трафик :)

*Эксперимент удался. Завершаю программу.*

gh0stwizard ★★★★★ ()
Последнее исправление: gh0stwizard (всего исправлений: 1)
Ответ на: комментарий от I-Love-Microsoft

Почему нельзя просто определить базовый функционал и просто сделать его хорошо,

потому что проектированием занимается абыкто

subwoofer ★★★★ ()

Месяц решета... какое интригующее начало у 2016-го...

Desmond_Hume ★★★ ()

Граждане, храните ключи в агенте. Если они у вас конечно есть.

redixin ★★★ ()

Наверняка всякие GitHub'ы уже собрали себе базу ключей.

IIIypuk ★★ ()
Ответ на: комментарий от IIIypuk

После такой новости можно ожидать что все юзеры просто сменят ключи на новые, а гитхабу зачем? И так небось всё в открытую лежит и они ползают по приватным репам...

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от gh0stwizard

Ты объявление-то читал? Для этой атаки нужен даже не митм, а митм с утечкой приватного ключа сервера.

intelfx ★★★★★ ()

Это встроенный screen/tmux?

mos ★★★ ()

Так всё таки, если ключи лежат в агенте спасает или нет?

surefire ()
Ответ на: комментарий от intelfx

Для этой атаки нужен даже не митм, а митм с утечкой приватного ключа сервера.

Верно, Центральная Разведовательная Универсальная Система АНБ и это предусмотрела :)

Какая разница, что еще нужно было? Главное, что эксперимент удался. Пять лет жил паразит.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от gh0stwizard

Большая. Откуда берутся все эти люди в шапочках из фольги, а?..

intelfx ★★★★★ ()
Ответ на: комментарий от Rost

От чего зависит? Я знаю dropbear и активно применяю его, просто знаю что просто маленький и всё.

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от beastie

Как обычно бсд везде пропихнула дыры под лозунгами открытости. Ждём libressh?

anonymous ()
Ответ на: комментарий от intelfx

Disable experimental client-side roaming support. Server side was disabled/gutted for years already, but this aspect was surprisingly forgotten.

С чего ты так уверен, что цели успели обновить сервера? Ну, это все так, в шутку.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

ну как бы

определить базовый функционал и просто сделать его хорошо

в dropbear как раз реализован базовый функционал, и реализован хорошо. ну а то что маленький - это следствие того, что все перделки выкинули на свалку :)

Rost ★★ ()

Не читай, а сразу спрашивай. Это про доступ по ключу что ли? Т.е. если такого нет, то можно спать спокойно?

anc ★★★★ ()
Ответ на: комментарий от intelfx

… или скомпроментированный сервер, или dns poisoning для хостов для которых у тебя нет сохраненного паблик ключа.

val-amart ★★★★★ ()
Ответ на: комментарий от val-amart

для которых у тебя нет сохраненного паблик ключа

ССЗБ

intelfx ★★★★★ ()
Ответ на: комментарий от gh0stwizard

Disable experimental client-side... Server side was disabled/gutted for years already, but this aspect was surprisingly forgotten.

Вот где надо дыры искать.

Wizard_ ★★★★★ ()
Ответ на: комментарий от redixin

Граждане, храните ключи в агенте. Если они у вас конечно есть.

Агент ничерта не изменит.

x3al ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

А потом все удивляются, что АНБ за ними шпионит.

mcgeek ()

Roaming — экспериментальное и недокументированное расширение для возобновления прерванных SSH содинений, которое разрешено по умолчанию.

Почему экспериментальное и недокументированное расширение включено по умолчанию?

yacuken ★★★ ()

Я правильно понимаю, что подключаясь по ssh к github'у, я уже слил на их сервера приватный ключ?

SaBo ()

хехе в бубунте 14.04 как раз 6.6

q11q11 ★★★★★ ()

ожидаемо когда ПО связанное с безопасностью пишут некомпетентные люди.

voltmod ()
Ответ на: комментарий от I-Love-Microsoft

без всяких улучшений возобновлений и ускорений???

Любой нормальный сетевой софт должен знать про то, что может быть лаг сети. У нас есть на работе одна софтина, которая принципиально этого не знает - удовольствие еще то.

leg0las ★★★★★ ()
Ответ на: комментарий от Desmond_Hume

Это хорошо. Во-первых хороша причина: много обнаруженых уязвимостей это много устраненных уязвимостей. Во-вторых прекрасно следствие: параноя крепчает, народ становится внимательнее, пристрастнее.

начало у 2016-го...

можно в этом усмотреть плодотворное продолжение 15-го. Народ перестал хлебалом щелкать, занялся спортивным поиском багов, очевидно.

Csandriel ()

экспериментальное и недокументированное расширение ..., которое разрешено по умолчанию

FAIL

instant ()

Ахтунг! Локалхост в опасности!

paran0id ★★★★★ ()

I ♥ Arch

Ошибке подвержены все версии от 5.4 и до 7.1, кроме 6.6.

На данный момент уже доступны обновления для OpenBSD и Debian.

pacman -Qi openssh
Название              : openssh
Версия                : 7.1p2-1
Описание              : Free version of the SSH connectivity tools
Архитектура           : x86_64
URL                   : http://www.openssh.org/portable.html
Лицензии              : custom:BSD
Группы                : Нет
Предоставляет         : Нет
Зависит от            : krb5  openssl  libedit  ldns
Дополнительно         : xorg-xauth: X11 forwarding [установлено]
                        x11-ssh-askpass: input passphrase in X
Требуется пакетами    : sshfs  sshpass
Дополнительно для : Нет
Конфликтует с         : Нет
Заменяет              : Нет
Установленный размер:   4.26 MiB
Сборщик               : Evangelos Foutras <evangelos@foutrelis.com>
Дата сборки           : Чт 14 янв 2016 18:43:54
Дата установки        : Чт 14 янв 2016 22:29:21
Причина установки     : Явно установлен
Установочный скрипт   : Yes
Проверен : Подпись
Axon ★★★★★ ()
Ответ на: комментарий от yacuken

почему экспериментальное и недокументированное расширение включено по умолчанию?

Раньше «экспериментальные недокументированные расширения», включеные по умолчанию назывались «закладками», кажется. Если существует логичный ответ на вопрос, и он один единственный, то списывать казус на чью-то глупость было бы слишком оптимистично, мне кажется. Как ни паскудно это признавать, это очевидный саботаж.

По какой еще причине «расширение» может носить такой кучерявый статус аж пять лет? — недукоментированное (читай скрытое) и «экспериментальное» — очевидно допиливать его и не пробовали; стало быть оно и без того отвечало своему назначеню достаточно хорошо.

Csandriel ()
Ответ на: I ♥ Arch от Axon

тестинг? у меня пока 7.1p1-1

П.С. Использовал сервер ## Worldwide Server = http://mirror.rackspace.com/archlinux/$repo/os/$arch

а там какие-то пакеты устаревшие переключился на региональное зеркало - все пришло

kiotoze ★★★ ()
Последнее исправление: kiotoze (всего исправлений: 1)
Ответ на: комментарий от Desmond_Hume

Это не месяц, это постоянная луна, а месяц, это только лиш видимая часть её.

nixbrain ()
Ответ на: комментарий от Csandriel

upgpkg: openssh 7.1p2-1
New upstream release; fixes CVE-2016-0777.

По приходу домой сразу обновился.
Но вообще да. Фигня какая-то.

И что там в версии 6.6 было? Я как-то не следил за развитием openssh.

yacuken ★★★ ()

Ну все же знают что в открытом коде можно всегда и легко найти любые закладки

WindowsXP ★★ ()
Ответ на: комментарий от intelfx

митм с утечкой приватного ключа сервера

Сырца гейхаба закрыты, откуда ты знаешь, что он не сливает твой трафик АНБ? :)

kirk_johnson ()
Ответ на: комментарий от yacuken

Почему экспериментальное и недокументированное расширение включено по умолчанию?

ответ вроде бы очевиден.

prizident ★★★★★ ()
Ответ на: комментарий от yacuken

Почему экспериментальное и недокументированное расширение включено по умолчанию?

Насколько я понял, это был задел под фичу, серверная часть которой так и не была сделана. А про готовую клиентскую часть забыли.

Мёртвый код со всеми последствиями.

beastie ★★★★★ ()
Ответ на: комментарий от yacuken

И что там в версии 6.6 было?

OpenSSH 6.6 is the only version that is not affected, because it calls
explicit_bzero() instead of memset() or bzero().
beastie ★★★★★ ()
Ответ на: комментарий от intelfx

никогда не подключался к транзитивным хостам, например к виртуалкам на AWS? у меня для них вообще `UserKnownHostsFile /dev/null`, потому что безполезно, перезапускаются под рандомными именами сотнями, и проверить не выйдет т.к. авторитативного источника отпечатков нет. для своих систем я их публикую в днс, но работать приходится с системами заказчиков. кроме того есть разные third-party сервисы с доступом через ssh, гитхаб самый очевидный пример.

энивей, я всего лишь пытаюсь показать что все не так безобидно и напороться на rogue сервер вполне реально.

val-amart ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.