Вышла новая версия OpenSSH - 3.7
А в старых нашли проблему с буфером. Вроде експлойта быть не должно - максимум - упадок sshd, но такими вещами не шутят.
-----------
error: Failed dependencies:
openssh = 3.4p1-2 is needed by (installed) openssh-clients-3.4p1-2
openssh = 3.4p1-2 is needed by (installed) openssh-server-3.4p1-2
-----------
В очередной раз убеждаюсь в тупости и бесполезности
редхатовского RPM. Во-первых, закольцованные зависимости.
Зачем вообще разделять пакеты, если они требуют друг друга ;)
Если пакеты разделены, то какая связь между ssh-клиентом и
ssh-сервером? На сервере ssh-клиент может вообще не
использоваться. Короче, дурость и дебилизм.
Ну чего не понятного-то? Детский сад... openssh - общая часть всего, нужна и клиенту и серверу. Хочу клиента ssh - ставлю openssh + openssh-clients, хочу сервер - ставлю openssh + openssh-server. Хочу все - ставлю все. Зачем разделять, теперь понятно? Не надо напоказ выставлять свою неграмотность.
Кто подскажет, в какой части openssh возможно срабатывание
обнаруженного бага с переполнением буффера? В сетевой, обмене
ключами или где? Дело в том, что если в сетевой, то это просто
заткнуть.
> Детский сад... openssh - общая часть всего, нужна и клиенту и серверу
В редхате ничему удивляться нельзя ;) Любая чушь у них выглядит
как абсолютная необходимость. Детский сад заключается в том,
что содержимое этого самого общего пакета - ssh-keygen и
парочка манов. ssh-keygen фактически отдельная программа...
Итого, вместо того, чтобы просто обновить sshd, необходимо
удалить клиента и сервер, обновит общую часть, переставить
сервер. Я понимаю, что это по-взрослому, но.... ;)
не надо ничего удалять... просто скачать новые версии пакетов, у тебя установленных и обновить их одновременно: rpm -Fhv rpm1 rpm2 ... rpmN Естественно у бинарного способа распространения программ есть минусы. Особенно забавно, когда из-за патча в несколько Кб приходится качать несколько Мб. Ядро, например, у RH ну очень часто обновляется. А ведь 12Мб каждый пакет... Ну что поделаешь... Видать люди на продаже трафика зарабатывают :)
Насколько я понимаю, получить рута в openssh >3.4 до
авторизации нельзя из-за введения "privilege separation".
Можно получить бесправного юзера ssh, который ничего не может,
и по идее должен сидеть в chroot jail. Если баг эксплойтится
после логина легального пользователя, то тогда эксплойт нужно
отнести скорее к локальным, что не так страшно.
> В очередной раз убеждаюсь в тупости и бесполезности > редхатовского RPM. Во-первых, закольцованные зависимости. > Зачем вообще разделять пакеты, если они требуют друг друга ;) > Если пакеты разделены, то какая связь между ssh-клиентом и > ssh-сервером? На сервере ssh-клиент может вообще не > использоваться. Короче, дурость и дебилизм.
Обычно тыпыми дебилами становятся лентяи, которым неохота даже man почитать. Уж чего казалось бы чего проще - скачать три пакета и дать одну команду rpm -Uvh openssh*
Ага. И причем обновление в Дебиане делается не так "легко и изящно" как тут описывали РедХатоводы, а apt-get upgrade -u. Причем само всё рестартится. Мало того, в то время как я обновлял ssh я на этом же серваке сидел по ssh.
Странно, но если верить всему вышенаписанному, РэдХэтовцы делают все совсем иначе. Найдите хоть один пример в этом треде, где Дебианщики накачали себе новых .deb и занимаются мазохизмом в dpkg.