Тем не менее в security-related мейллистах прошла волна сообщений о взломах через последние (до 3.7) версии openssh. По слухам существует эксплойт который работает как минимум на FreeBSD и Linux.

RedHat уже выпустило Advisory и фикс: https://rhn.redhat.com/errata/RHSA-2003-279.html

>А в старых нашли проблему с буфером.

вашу мать, сколько щас машин взломанных будет.....

exploit где???

на full-disclosure народ тоже жалуется на взломы

firewall спасет.

openssh в который раз оправдывает свое название

народ памажыте.
Есть далекая-далекая тачка, на которую только ssh'хой ходить могу.
редхат 8
Када грю
rpm -ivh openssh-3.4p1-5.i386.rpm
оно отвечает, что типа
file /usr/bin/scp from install of openssh-3.4p1-5 conflicts with file from package openssh-3.4p1-2
file /usr/bin/ssh-keygen from install of openssh-3.4p1-5 conflicts with file from package openssh-3.4p1-2
и дальше всякое.
Как безболезненно переехать?
Ибо ипать миня будут жостко, если там что-то сляжет.

Спасибо за совет :)

Лицензия у обычного SSH хоть и не опен, но зато его некоммерческий вариант не делает такой головной боли как openSSH, проблемам в котором уже и удивляться лень

rpm -Uvh lame

А когда будет djbssh? я бы перешел

2 anonymous (*) (2003-09-16 23:37:09.531928)

пасиба дорогой.
Стыд мне и срам.

error: Failed dependencies:
        openssh = 3.4p1-2 is needed by (installed) openssh-clients-3.4p1-2
                                                        ^^^^^^^^
        openssh = 3.4p1-2 is needed by (installed) openssh-server-3.4p1-2
                                                         ^^^^^^^^
Сцука. Ну как так можно.

все плять, снесу этот Openssl и теперь буду только telnet over stunnel юзать :)

narod kinte link na exploit plsss esli takoy est voobshe :)

Нда, товарищ... Тебе бы сначала на рабочей станции потренироваться, а потом на сервер лесть, за который тебя "жостоко" могут кхе кхе. Пока ты совсем слаб. Тут даже и советовать пока нечего.

2anonymous (*) (2003-09-16 23:41:32.933696)
Не нервничай:)
Ты просто невнимательно прочитал errate от РХ
https://rhn.redhat.com/errata/RHSA-2003-279.html
Возьми там еще файлы http://updates.redhat.com/9/en/os/i386/openssh-clients-3.5p1-9.i386.rpm
http://updates.redhat.com/9/en/os/i386/openssh-server-3.5p1-9.i386.rpm
А дальше rpm -Fvh openssh-server-3.5p1-9.i386.rpm openssh-clients-3.5p1-9.i386.rpm openssh-3.5p1-9.i386.rpm в одну строку и все встанет:)

2 anonymous (*) (2003-09-16 23:51:15.584936)

Свои фолты я прекрасно знаю. РХ - не пользовал, уж оченно стремная (читай: незнакомая) штука. Достался сервак по наследству. С пакетами ее экспириенса не имею. Под рукой шапки нет, проверить не могу. Спрашиваю, чтобы не ошибиться. Ибо ошибаться не имею права.
P.S. Могу и пиписьками померяться, если сильно хоцца.

2 anonymous (*) (2003-09-16 23:52:01.284552)
Спасибо друг дорогой. Будешь у нас на колыме - напою пивом :)

2anonymous (*) (2003-09-16 23:56:28.92083)
Лучше уж вы к нам:)
PS
В принципе если нет желания пофлеймить, то на ЛОР лучше с техническими вопросами не обращаться. Помочь не помогут но грязью обольют
Лучше на linux.ru.net- он модерируется и народ там подоброжелательней

a sploit gde???? =)))))

пиздец, заебали дырки... сколько же можно... дауню срочно ssh...

a adminit kak esli servak daleko? =) ya prosto firewall'am zakril access tolko k moemu ip i vse..

Ой да и даунь себе на здоровье и ходи по тельнету на недосягаемые сайты, а если ssh просто для понтов открыт был (чтобы так между делом в форуме сказать "фсё блять дауню ssh") то че тогда и пиздеть?

Упадок - это серьезно!

Было время когда все было ровно наоборот. Везде стоял коммерческий ssh, а openssh тока у маргиналов. тогда все ломали коммерческий ssh и складывалось впечатление что openssh неуязвим. А теперь роли неуловимого джо сменились ;)

>Ой да и даунь себе на здоровье и ходи по тельнету на недосягаемые сайты, а если ssh просто для понтов открыт был (чтобы так между делом в форуме сказать "фсё блять дауню ssh") то че тогда и пиздеть?

Чувак, ты понятия клиента и сервера различаешь? Прочитай что сам написал то... SSH открыт чтобы из дома можно было рабочую машину поковырять, теперь всё плохо, хоть и стоит watchdog, который ssh опустит при появлении левых соединений, - это не панацея ...

всё хорошо - кончай пиздеть

ssh

>> теперь всё плохо, хоть и стоит watchdog, который ssh
>> опустит при появлении левых соединений, - это не панацея ...
а можно чуть подробнее об организации такой системы?

А зато anonymous (*) (2003-09-17 00:25:23.32069) закрыл сам себе на удалённом серваке доступ ;) зато все остальные могут.

Ну и правильно!!!

а моя windows xp home edition подвержена этой уязвимости? а моя slackware?

sceas tacaja boinea na4niotsea ...

а вы дополнительные пачи на ядро по безопасности ставить не пробовали
например переполнение буфера ?

улучшает сон на много

Пример rpm -Uvh openssh-3.5p1-9.ia64.rpm openssh-clients-3.5p1-9.ia64.rpm openssh-askpass-3.5p1-9.ia64.rpm openssh-server-3.5p1-9.ia64.rpm

Для начала проверь что стоит. rpm -qa | grep openssh

В общем фокуса два: 1 rpm -U вместо -i 2 В один раз все должен проапдейтить (укажи сразу список RPM файлов), что бы не париться зависимоятми 4 или 5 пакетов от openssh ( есть еще пакет openssh-askpass-gnome-3.1*, но я его тюк rpm -e openssh-askpass-gnome.....)

Собственно все, только COPY/PASTE с экрана не делай, имена пакетов могут иметь иной вид. Ну и man rpm поможет.

А, еще не забудь перегрузить sshd.
Я хрен знаю как сработает на поднятом клиентском коннекте.
Но делеал так

at 8:22
/etc/rc.d/init.d/sshd stop; sleep 5; killall sshd; sleep 5 ; /etc/rc.d/init.d/sshd start

И ждемс, 8:22 с секундами когда выкинет из машины,далее на удачу проверяем.

Казалось бы, причём тут Слакваре?

В Debiane ночью вылечилось _САМО_ ;-)

А что это значит, есть openssh-3.7.1p1-1.src.rpm, и есть openssh-3.7p1-1.src.rpm, то же с бинарниками, это что за один день две версии сменились???

Перед апдейтом ssh рекомендуется, например, поднять telnet.

Паранойя хороша, но не до такой же степени!

Подняли телнет, зашли под служебным эккаунтом, проапдейтили ssh, рестартовали сервис, проверили... Не работает - по телнету вперед. Ни один провайдер не станет слушать ваш траффик - вы ему нах не нужны, и ваш занюханый сервер тоже. А просниферить могут только провайдеры. В крайнем случае, после апдейта зайдете по ssh и смените пароль на сервисный эккаунт - делов то...

to anonymous (*) (2003-09-17 09:24:32.883389)

Кинь, плз, урл на openssh-3.7p1-1.src.rpm

anonymous (*) (2003-09-17 08:50:51.688099)

психиатр в другом месте

ssh over IPSec

Параноя никогда не бывает лишней :)

to anonymous (*) (2003-09-17 09:24:32.883389)

--- openssh-3.7p1/ChangeLog     Tue Sep 16 14:00:52 2003
+++ openssh-3.7.1p1/ChangeLog   Wed Sep 17 05:35:09 2003
@@ -1,3 +1,11 @@
+20030917
+ - (djm) OpenBSD Sync
+   - markus@cvs.openbsd.org 2003/09/16 21:02:40
+     [buffer.c channels.c version.h]
+     more malloc/fatal fixes; ok millert/deraadt; ghudson at MIT.EDU
+ - (djm) Crank RPM spec versions
+ - (djm) Release 3.7.1p1
+

2 eda:

В нормальных дистрибутивах это делается так:
kill `cat /var/run/sshd.pid`
так что service sshd restart можно делать спокойно (да он и сам перезапустится после обновления в нормальном-то дистре :)

ssh через stunnel через IPSec ?

и еще все это в отдельном VLAN-е

А если у меня нет Интернета дома и одна машина под Mandrake стоит мне это надо делать?

нет

Эй вы красноглазые ! Страны в разрухе, а вы все патчами балуетесь. Не надоело ?

>А если у меня нет Интернета дома и одна машина под Mandrake стоит мне >это надо делать?

Да.

И не верь anonymous (*) (2003-09-17 13:23:18.306315) . Если он не боится хакеров, то пусть не делает.

А если у меня нет Интернета дома и одна машина под Mandrake стоит мне это надо делать?

Ты что, болен? Ты ведь ssh не юзаешь и кто к твоей тачке достучится??? Разве что тока через дверь. Так что лучше замок во входной двери смени... :))

lsh билять