Удаленная уязвимость в FreeBSD 5.3 и 5.4

0

0

Атакующий может вызвать зависание OpenSSH в связке c OpenPAM открывая кучу последовательных запросов на соединение и обрывая их на стадии приглашения к вводу пароля.

Решения:

Отключить работу с PAM (echo UsePAM no >> /etc/ssh/sshd.config), или обновить систему до RELENG_5_3 или RELENG_5_4

Патчи для тех, кто не хочет обновлятся полностью - ftp://ftp.FreeBSD.org/pub/FreeBSD/CER...:09/openssh.patch

>>> Подробности

Ссылка

←	«1C:Предприятие» заработает под Linux

Remote DoS в NFS сервере

→

Не упомянуто еще два способа обойти проблему с этим crypto _contrib_:

1) пересобрать поставляемый с системой OpenSSH с поддержкой нитей вместо процессов (make -DOPENSSH_USE_POSIX_THREADS).

2) cd /usr/ports/security/openssh && make install

PS. Сейчас начнется крик анонимусов, непонимающих, что ошибка в OpenSSH касается всех, кто его использует.

PPS. Естественно, никто опять не посчитает это проблемой линукса. Ведь с ним в комплекте не идет OpenSSH... ;)

baka-kun ★★★★★
(01.03.06 22:03:22 MSK)

Ответ на: комментарий от baka-kun 01.03.06 22:03:22 MSK

s/анонимусов/бывших анонимусов/ в свете закрытия темы. ;)

baka-kun ★★★★★
(01.03.06 22:05:11 MSK)

Ответ на: комментарий от baka-kun 01.03.06 22:05:11 MSK

Я не понимаю, почему тогда такое неправильное название у новости...

Корректнее "Удаленная уязвимость в OpenSSH X.XX."

Valmont ★★★
(01.03.06 22:15:35 MSK)

Ответ на: комментарий от Valmont 01.03.06 22:15:35 MSK

уязвимые системы:...

Valmont ★★★
(01.03.06 22:16:46 MSK)

Ссылка

И при этом БСД-шники говорят что Линукс - сакс, дырявая проститутка...

Нада будет повесить этих гадов :)

iron ★★★★★
(01.03.06 22:49:40 MSK)

Ссылка

Гы, да это в 5 ветке уязвимость, 6 не касается. 5 ветка сдохла уже давно...

А что касается линукса, то ви таки шо, openssh под него не используете? Мне кажется в свете дырявости линуха ssh там просто не нужен. А красноглазые к любой критической дырке на выбор pam и шифрование приделают :))

zzzzz
(01.03.06 23:24:06 MSK)

Ссылка

Шестая удаленная уязвимость в FreeBSD за неполных два месяца... Я фигею...

~~Iogin~~
(02.03.06 00:25:11 MSK)

Ссылка

Причем тут линукс или openssh ?? Ясно написано, что проблема в особенности архитектуры OpenPAM. На линуксе свой, родной PAM.

an
(02.03.06 00:29:00 MSK)

Ответ на: комментарий от an 02.03.06 00:29:00 MSK

> Причем тут линукс или openssh ??

При том, что _OpenSSH_ проводит PAM аутентификацию в отдельном процессе либо ните. В первом случае отсутствовала проверка ситуации, когда родитель умирал раньше потомка. Это приводило к съезжании крыши у предка родителя, что заканчивалось DoS.

> На линуксе свой, родной PAM.

И кому от этого легче, если его используют описанным выше способом?

baka-kun ★★★★★
(02.03.06 01:46:07 MSK)

Ответ на: комментарий от baka-kun 02.03.06 01:46:07 MSK

>И кому от этого легче, если его используют описанным выше способом?

да не отмазывайтесь :)

а то комплекс неполноценности так и прет :)))

еще никто не наехал, а вы начали доказывать что FreeBSD не сакс, и Linux по крайней мере такой же ;)

AcidumIrae ★★★★★
(02.03.06 05:04:57 MSK)

Ответ на: комментарий от AcidumIrae 02.03.06 05:04:57 MSK

а что fbsd 6 этому не подвержена чтоле ?

abbath ★★
(02.03.06 07:06:23 MSK)

Ответ на: комментарий от abbath 02.03.06 07:06:23 MSK

вот уроды ... задрало уже linux vs fbsd .
кстати а как насчет fbsd4.x ? под нее это распространяется ? а то уменя пара гейтов еще под 4.x стоит.

j262 ★★
(02.03.06 08:07:51 MSK)

Ответ на: комментарий от j262 02.03.06 08:07:51 MSK

отключите PAM и будет вам Щастье. в жизни не поверю что он кому-то для удаленного входа через ssh нужен

FatBastard ★★
(02.03.06 09:44:48 MSK) автор топика

венде теперь точно писец...

~~tbapb~~
(02.03.06 10:26:09 MSK)

Ссылка

Ответ на: комментарий от FatBastard 02.03.06 09:44:48 MSK

>отключите PAM и будет вам Щастье. в жизни не поверю что он кому-то для удаленного входа через ssh нужен

=) Только вот есть одно маленькое "но", в FreeBSD5 sshd, PAM использует по умолчанию, и если в конфиге поставить UsePAM no, забыв там же расскоментарить PasswordAuthentication yes, сделать рестарт sshd, то при следующем коннекте будет великое щастье =) (Ососбенно если при этом сервер удалённый и закрыть все рутовские консоли :D )

gloomdemon ★
(02.03.06 10:47:58 MSK)

Ответ на: комментарий от FatBastard 02.03.06 09:44:48 MSK

> отключите PAM и будет вам Щастье. в жизни не поверю что он кому-то для удаленного входа через ssh нужен

Как минимум OPIE, для работы из мест где могут быть кейлоггеры. Ну и что-нибудь типа pam_chroot юзают нередко.

zzzzz
(02.03.06 10:49:54 MSK)

Ссылка

Ответ на: комментарий от gloomdemon 02.03.06 10:47:58 MSK

Вообще-то парольная авторизация для ssh не рулит в принципе, так что у тех кто это понял никаких проблем нет:)

FatBastard ★★
(02.03.06 12:25:11 MSK) автор топика

Ответ на: комментарий от FatBastard 02.03.06 12:25:11 MSK

>Вообще-то парольная авторизация для ssh не рулит в принципе, так что у тех кто это понял никаких проблем нет:) Предлагаешь таскать с собой флешку с ключами?

gloomdemon ★
(02.03.06 12:56:03 MSK)

Ответ на: комментарий от gloomdemon 02.03.06 12:56:03 MSK

да

FatBastard ★★
(02.03.06 13:26:50 MSK) автор топика

Ответ на: комментарий от FatBastard 02.03.06 13:26:50 MSK

Ключи можно втихаря стырить с флэшки, если уж кейлоггер стоит, то можно и демона повесить, чтобы ключи с флэшки тырил.

MaratIK ★
(02.03.06 15:04:46 MSK)

Ссылка

Ответ на: комментарий от FatBastard 02.03.06 13:26:50 MSK

Я тоже так думаю но есть опять же одно но, не всегда знаешь когда тебе понадобится доступ к серверу, а флешки на которой ключи, может, так получится, не будет рядом.

gloomdemon ★
(02.03.06 15:13:48 MSK)

Ссылка

Вот млин...только вернулся со станции (с консольки перезапускал зависший sshd, причем второй раз за год), успокоился, открыл ЛОР и увидел новость... Что ж....я на себе уже попробовал, надо патчить.

X-treme
(02.03.06 17:45:55 MSK)