А чего это про дырявость OpenSSH никто новость не запилил ?

с тех пор как openssh отказался мигрировать на openssl-1.1 прошла куча времени. они теперь ориентированы на libressl.. думается, что написать свой собственный наколенный ssh клиент используя libssh - проблема пары дней.. нахрен openssh

шерето! а нет, починили уже

ps создатель капчи с автобусами, гидрантами и велосипедами — гори в заду!

Автобусы, гидранты и велосипеды самые изичные же, штуки 4 всего выбрать. Какая-то херня, которую их движок не смог распознать и непонятно чего от тебя вообще ждут, куда хуже.

Всем кто не пользует ключи предлагаю [РОСКОМНАДЗОР]

Только так.

Оно опять дырявое?

Ну, что я говорил, сколько попенсофт ни обновляй, а он всегда будет уязвим.

Поэтому важнее всего, чтоб этот попенсофт хотя бы работал без особо критичных багов или регрессий.

ну разгадал я эту капчу, но мне выдается еще одна. именно эти всегда сбрасываются.

Кстати, пока ты эти картиночки щелкал, о тебе много чего интересного и не очень узнали :)

и чего же они там узнали?

сколько попенсофт ни обновляй, а он всегда будет уязвим

Починил.

ps создатель капчи с автобусами, гидрантами и велосипедами — гори в заду!

Полностью согласен.

Удваиваю.

ps создатель капчи с автобусами, гидрантами и велосипедами — гори в заду!

А мне норм

Подобное поведение позволяет злоумышленнику угадать действительные логины, зарегистрированные на SSH-сервере, и подобрать пароли с помощью брутфорс-атак или перебора по словарю.

Но логины сперва тоже нужно отбрутфорсить.

Всем кто не пользует ключи

Им всегда рады на рынке клининговых услуг.

Да это не уязвимость, а говно какое то. Допустим узнаешь ты, что под рутом можно залогиниться и что дальше?

Почитай почему рекомендуют не использовать рут для ssh, после того как сделаешь уроки.

Ну, sidechannel. Неприятно, но и не критично.

Я тебе внятно спросил, как ты будешь эксплуатировать этот чудо эксплойт? Поэтому никто и не запилил новость. Потому что, никак. И причем тут твое использовать, не использовать - речь вообще не об этом, олененина ты тупоголовая.

брутить гораздо веселей, когда знаешь что подбираешь пароль к существующему юзеру.

ну это не отменяет того, что логин тоже нужно брутить

Раньше ботам приходилось перебирать пароли к некоторому списку юзеров и было непонятно к верному юзеру перебираются пароли или нет.
Теперь же набрутив логинов, можно существенно повысить эффективность брута паролей.

не спорю, да. Но все равно сам подбор логина тоже непростая задача

сколько попенсофт ни обновляй, а он всегда будет уязвим

[влезу] — Как и любая система

Теперь же набрутив логинов, можно существенно повысить эффективность брута паролей.

Это да, более того, у какого-то немаленького количества пароль будет совпадать с логином или слегка, в рамках нескольких десятков вариантов для перебора, отличаться

ps создатель капчи с автобусами, гидрантами и велосипедами — гори в заду!

А мне норм

Ну это уже удар ниже пояса

А чего это про дырявость OpenSSH никто новость не запилил ?

Так ведь это же не новость.

Ну, что я говорил, сколько попенсофт ни обновляй, а он всегда будет уязвим.

Ты чо, не может быть! Миллиарды глаз же!

Мастурбейтинг манкис как обычно в своём репертуаре.

Дыра только в том, что сервер при угаданном логине отвечает иначе, чем при не существующем.

Таки, давайте считать дырой и то что при верном и неверном пароле он тоже разные ответы возвращает. Ну что за бред...

Да, я понимаю, что логинов меньше чем паролей, т.к. имена осмысленные. Но, ёпт — root уже и подбирать не надо.

35, 25... дебилы ять.

root

Таки, давайте считать дырой и то что при верном и неверном пароле он тоже разные ответы возвращает. Ну что за бред...

Если ответы будут разными без указания логина — то таки да, это будет дырой.

Но, ёпт — root уже и подбирать не надо.

Кто-то ещё не отключил авторизацию под рутом? Тогда ботнеты идут к вам.

Знаю нескольких. Полагаю их больше чем я знаю.

Если ответы будут разными без указания логина

Пароль без логина? Где ты такое видел по ссх?

Пароль без логина?

Я тебе про ответы говорю. Сабжевую дырку с разными логинами без указания пароля 20 лет тоже никто „не видел”.

Ты уже в полемику ударился. Давай еще вспомним и начнем обсуждать сабжевую дырку, что в ссх можно наконфижить вывод приветствия вообще без ввода логинов и паролей и только потом уже ожидание логина.

можно наконфижить вывод

Причём тут то что можно наконфижить к различным ответам при вводе неполных аутентификационных данных? Прими разупорину.

можно наконфижить

Если ты так сильно хочешь чтобы тебя поимели — проще наконфижить логин под рутом с паролем 123456.

Это ты прими — без логина пароль по ссх вообще не пролезет. О чем ты там в самом деле говоришь — не понятно. Выражайся яснее. Я лишь процитировал что ты напечатал мне в ответ:

Таки, давайте считать дырой и то что при верном и неверном пароле он тоже разные ответы возвращает

Если ответы будут разными без указания логина — то таки да, это будет дырой

И опять полемика.

И с дорожными знаками.

без логина пароль по ссх вообще не пролезет

Уверен? А если через десяток-другой лет опять появится какой-нибудь

специально сформированный запрос аутентификации

— повесишь на аватарку петуха?

О чем ты там в самом деле говоришь — не понятно.

Я выразился предельно ясно. Разные ответы при неполных и некорректных аутентификационных данных — дыра по определению, точка.

С дорогами и витринами ещё.

повесишь на аватарку петуха?

Легко! Но при условии, что, пока такой запрос не появился — ты повесишь петуха себе прямо сейчас.

Разные ответы при неполных и некорректных аутентификационных данных — дыра по определению, точка

Вот теперь ты выразился ясно. Но только теперь. А до этого ты говорил про дыру с паролем без логина.

От этой уязвимости уже давно патч вышел.

PasswordAuthentication no

Легко! Но при условии, что, пока такой запрос не появился — ты повесишь петуха себе прямо сейчас.

А я почему должен его вешать? В отличии от тебя я не утверждаю непременное наличие или отсутствие гипотетической уязвимости, эксплуатируемой при помощи специально сформированного запроса, в говнокоде OpenSSH.

Таки, давайте считать дырой и то что при верном и неверном пароле он тоже разные ответы возвращает. Ну что за бред...

Если ответы будут разными без указания логина — то таки да, это будет дырой.

…

Разные ответы при неполных и некорректных аутентификационных данных — дыра по определению, точка

Вот теперь ты выразился ясно. Но только теперь.

Соболезную, но здесь проблемы с пониманием вышенаписанного — они только твои.

А я почему должен его вешать? Я не утверждаю непременное наличие или отсутствие гипотетической уязвимости

А я утверждаю её невозможность а не «наличие или отсутствие». И когда ты меня берешь на понт петухом, ты утверждаешь её возможность. Если ты считаешь, что петуха вешать должен я, то почему его не должен вешать ты? Тем более, этот вариант ты сам и предложил. А мог бы на бутылку коньяка застолбиться, но нет — петухи тебе интереснее.

здесь проблемы с пониманием вышенаписанного — они только твои

Я не в курсе какие у тебя там синапсы в мозгу посклеились и что именно ты имел ввиду, когда говорил совсем другое. Твое утверждение, что только я не могу тебя понять — спорно.

ты повесишь петуха себе прямо сейчас

Оставьте развлечения с петухами форумным коммунистам и прочим маргиналам.

По сабжу, какое это имеет значение если у тебя отключены пароли вообще и вся авторизация по ключам? Поэтому у этой уязвимости весьма низкий статус. Ну да, неприятно, но не сильно уж и критично.

Как я писал выше — знаю нескольких у кого и рут открыт и по паролям ходят и порт стандартный — вобщем весь букет сразу. И я думаю, что таких гораздо больше, чем я знаю.

Беда у них такая: https://cs5.pikabu.ru/post_img/2015/12/04/5/1449210847155432089.jpg

И пока сами на грабли не наступят, думать не начинают.

и по паролям ходят

Все почему-то забывают, что по сертификатам ходить получается безопаснее только при наличии железки с секретным некопируемым ключом. Пароль вы можете на каждый хост сделать свой, админу он нафиг не нужен, а всем остальным даже скопировав физически диск с /etc/shadow ничего не даст, ибо там нет ключа, а только хеш. А вот иметь кучу закрытых ключей под каждый хост, вешать там разные пароли на ключи и трястись от их утечек — тот ещё геморой.

и порт стандартный

Пф. Ну конечно, это же так сразу становится безопаснее, ага...

А я утверждаю её невозможность

Ты провёл аудит кода? Тогда почему сабжевую дырку пропустил?

ты утверждаешь её возможность

Конечно. Как и возможность узнать существующие в системе логины по ответу сервера.

Я не в курсе какие у тебя там синапсы в мозгу посклеились и что именно ты имел ввиду, когда говорил совсем другое.

Совсем другое говорил ты, когда зачем-то описал стандартный процесс аутентификации OpenSSH, я лишь намекнул в каком ещё случае помимо сабжа это будет дырой.

Твое утверждение, что только я не могу тебя понять — спорно.

Не, я утверждал что твои проблемы с пониманием — они лишь твои.