LINUX.ORG.RU

OpenSSH: multiple vulnerabilities in the new PAM code


0

0

Вот - опять! - полюбуйтесь.
Я, если честно, уже запутался. В каких ветках фрюхи уже или еще все ок, а порты вот-вот будут или еще не скоро, рпм, емерджсинки...
Но надо косить. А по сему - апгрейд-апгрейд-апгрейд...


1. Versions affected:

Portable OpenSSH versions 3.7p1 and 3.7.1p1 contain multiple
vulnerabilities in the new PAM code. At least one of these bugs
is remotely exploitable (under a non-standard configuration,
with privsep disabled).

The OpenBSD releases of OpenSSH do not contain this code and
are not vulnerable. Older versions of portable OpenSSH are not
vulnerable.

2. Solution:

Upgrade to Portable OpenSSH 3.7.1p2 or disable PAM
support ("UsePam no" in sshd_config).

Due to complexity, inconsistencies in the specification and
differences between vendors' PAM implementations we recommend
that PAM be left disabled in sshd_config unless there is a need
for its use. Sites only using public key or simple password
authentication usually have little need to enable PAM

anonymous

Проверено: green

Re: OpenSSH: multiple vulnerabilities in the new PAM code

>А в Слаке нет PAM

потому что слака говно.

borisych ★★★★★ ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Кто-нибудь толком может объяснить - почему?
Почему как из рога изобилия эти баги посыпались?
Третий фикс за последнюю неделю - не многовато ли будет?

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Есть оно в слаке...
Но ночью уже патч готов был...
upgradepkg ужо сделал.

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Slackware is not vulnerable to the PAM problem, and it is not believed that any of the other code cleanups fix exploitable security problems, not nevertheless sites may wish to upgrade.

Slackware Linux Security Team

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Хех... видать народ обиделся что только мелкософт постоянно заплаты выпускает и решил поддержать их со стороны никсов :)

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

мне кажется дело в том что мс было обосрато немного - сыпались один за одним ms ie, ms dcom, etc - очень похоже что копали под мс и копали китайцы - мсу надо было показать что опен осы не надежнее и поэтому как и ожидалось посыпались sendmail и openssh ..

lg ★★ ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

вот уж теперь детишки вроде stalsen'a со своим RTK повеселятся =)

anonymous ()

-

under a non-standard configuration, with privsep disabled

Чего боитесь ? По дефолту privsep включено

Sun-ch ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Может просто чисткой кода занялись - вот вам и рог изобилия.

anonymous ()

-

вот уж теперь детишки вроде stalsen'a со своим RTK повеселятся =)

Боишься ? Правильно боишься.

Sun-ch ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

RedHat 9.0 с настройками по умолчанию, не подвержена данной уязвимости.

anonymous ()
Ответ на: Re: OpenSSH: multiple vulnerabilities in the new PAM code от R3M

Re: Re: OpenSSH: multiple vulnerabilities in the new PAM code

>А в Слаке нет PAM

я конечно знал, что слака говно, но не до такой же степени!

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

openssh на помойку. это сервис-гейт в святая святых - источник/хранилище информации. openssh аналогично деревянным дверям в банк.

религия не позволяет использовать non-commercial от ssh.com?

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

2 borisych
Ты бы такое не говорил, ок?
Я же не говорю, что любимая тобой дженту говно

Deleted ()

-

религия не позволяет использовать non-commercial от ssh.com?

А там что святые ?

Sun-ch ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

2anonymous (*) (2003-09-24 15:08:41.307729)
Тебе ничего не буду отвечать, вспомни лишь бородатый анекдот - "Мужик, ну ты сам понял, да?"

Deleted ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

2Sun-ch
Да не... просто постабильнее, в угоду меньшей функциональности. И опять же, из-за гораздо меньшего процента пользования ею - дыр гораздо меньше :)

Deleted ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Dimez, а M$ terminal service вообще получается неуязвим коли им почти никто не пользуется?

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Мля, я ж смайл поставил, понимать надо, да? :) И, кстати, пользуются terminal services, не надо :)

Deleted ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Ай да маладца слака! Опять впереди планеты всей. Не зря от PAM
отказались. Толку от него - чуть, а вот на багтреке с дырами
в безопасности светится уже третий или четвертый раз. И эта
софтина была призвана повысить безопасность системы ;)

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

слака смотрит на года вперед!

anonymous ()
Ответ на: Re: OpenSSH: multiple vulnerabilities in the new PAM code от Deleted

Re: Re: OpenSSH: multiple vulnerabilities in the new PAM code

>Мля, я ж смайл поставил, понимать надо, да? :) И, кстати, пользуются terminal services, не надо :)

нет маньяков, использующих его в _инете_

anonymous ()
Ответ на: Re: OpenSSH: multiple vulnerabilities in the new PAM code от anonymous

Re: Re: OpenSSH: multiple vulnerabilities in the new PAM code

>софтина была призвана повысить безопасность системы ;)

дубина, PAM не для того предназначен.
а ну марш на google.com искать для чего нужен PAM и не позорься тут

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

>Ты бы такое не говорил, ок? Я же не говорю, что любимая тобой дженту говно

а типа отсутствие pam это кул 7 а отсутствие nss тоже кул ? и вообще нифиг на серваках пользователей держать ?

borisych ★★★★★ ()
Ответ на: Re: Re: OpenSSH: multiple vulnerabilities in the new PAM code от anonymous

Re: Re: Re: OpenSSH: multiple vulnerabilities in the new PAM code


Так и знал, что какая-нибудь шавка обязательно тявкнет ;(
Ну вот, например, что google выдает:

PAM creates independent modules that verify passwords and tell
the appropriate program ( login ) that the entered password is
correct. This _greatly_ _increases_ _security_ (since PAM can
tell passwd that a given password is too easy to guess), and
also increases the ways of authenticating a user.

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Почему PAM является какашкой? Патаму шта:
- сделан через жопу
- неоправданно усложняет схему аутентификации и создает незаметные на первый взгляд дырочки.
- неоднократно появлялся на багтреке в разделе "дыры в безопасности"

Уже за один последний пункт он не имеет права считаться
серверным софтом. Впрочем, так же, как bind, sendmail, openssh...

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

>>неоправданно усложняет схему аутентификации и создает незаметные на первый взгляд дырочки.

совсем наоборот.

>>неоднократно появлялся на багтреке в разделе "дыры в безопасности"

это из пальца высосано ??

>>сделан через жопу

imho, если к нему существует столько модулей, то ни о какой жопе и речи быть не может.

borisych ★★★★★ ()
Ответ на: Re: OpenSSH: multiple vulnerabilities in the new PAM code от borisych

Re: Re: OpenSSH: multiple vulnerabilities in the new PAM code

> >>неоднократно появлялся на багтреке в разделе "дыры в безопасности"
> это из пальца высосано ??

Ага. Этот палец называется интернет.
http://www.google.com.ru/search?q=PAM+security

anonymous ()
Ответ на: Re: OpenSSH: multiple vulnerabilities in the new PAM code от borisych

Re: Re: OpenSSH: multiple vulnerabilities in the new PAM code


>imho, если к нему существует столько модулей, то ни о какой жопе и речи быть не может.

А миллионы мух, как известно, ошибаться не могут.

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

>Ага. Этот палец называется интернет. http://www.google.com.ru/search?q=PAM+security

а я уж было повелся.... :) первые две ссылки какое-то гонево, не относящееся к дыркам, все остальные >3 летней давности.

borisych ★★★★★ ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

Да если даже тебя мордой ткнуть в эти дырки, ты все равно
скажешь, что плохо видишь, туго слышишь и плохо соображаешь ;)

anonymous ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

для танкистов :

набираем в гугле pam vulnerability - все ссылки трехлетней давности

а если наберем sendmail vulnerability - последняя 17 сентября

borisych ★★★★★ ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

хотя был баг в pam_wheel (16/6/2003) , но какой-то надуманный...

borisych ★★★★★ ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

This _greatly_ _increases_ _security_ (since PAM can
tell passwd that a given password is too easy to guess), and
also increases the ways of authenticating a user.

И эти люди будут меня учить как выбирать пароли?

alman ★★★ ()

Re: OpenSSH: multiple vulnerabilities in the new PAM code

2 borisych Идеология Slackware такая, что хочешь - то и сделай По умолчанию pam'а нету, хочешь, чтобы был - ставь, прикручивается - на ура(я, правда, не прикручивал, ибо нах не надо)

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.