LINUX.ORG.RU

Удаленная уязвимость в FreeBSD 5.3 и 5.4


0

0

Атакующий может вызвать зависание OpenSSH в связке c OpenPAM открывая кучу последовательных запросов на соединение и обрывая их на стадии приглашения к вводу пароля.

Решения:

Отключить работу с PAM (echo UsePAM no >> /etc/ssh/sshd.config), или обновить систему до RELENG_5_3 или RELENG_5_4

Патчи для тех, кто не хочет обновлятся полностью - ftp://ftp.FreeBSD.org/pub/FreeBSD/CER...:09/openssh.patch

>>> Подробности

Не упомянуто еще два способа обойти проблему с этим crypto _contrib_:

1) пересобрать поставляемый с системой OpenSSH с поддержкой нитей вместо процессов (make -DOPENSSH_USE_POSIX_THREADS).

2) cd /usr/ports/security/openssh && make install


PS. Сейчас начнется крик анонимусов, непонимающих, что ошибка в OpenSSH касается всех, кто его использует.

PPS. Естественно, никто опять не посчитает это проблемой линукса. Ведь с ним в комплекте не идет OpenSSH... ;)

baka-kun ★★★★★
()
Ответ на: комментарий от baka-kun

Я не понимаю, почему тогда такое неправильное название у новости...

Корректнее "Удаленная уязвимость в OpenSSH X.XX."

Valmont ★★★
()

И при этом БСД-шники говорят что Линукс - сакс, дырявая проститутка...

Нада будет повесить этих гадов :)

iron ★★★★★
()

Гы, да это в 5 ветке уязвимость, 6 не касается. 5 ветка сдохла уже давно...

А что касается линукса, то ви таки шо, openssh под него не используете? Мне кажется в свете дырявости линуха ssh там просто не нужен. А красноглазые к любой критической дырке на выбор pam и шифрование приделают :))

zzzzz
()

Шестая удаленная уязвимость в FreeBSD за неполных два месяца... Я фигею...

Iogin
()

Причем тут линукс или openssh ?? Ясно написано, что проблема в особенности архитектуры OpenPAM. На линуксе свой, родной PAM.

an
()
Ответ на: комментарий от an

> Причем тут линукс или openssh ??

При том, что _OpenSSH_ проводит PAM аутентификацию в отдельном процессе либо ните. В первом случае отсутствовала проверка ситуации, когда родитель умирал раньше потомка. Это приводило к съезжании крыши у предка родителя, что заканчивалось DoS.

> На линуксе свой, родной PAM.

И кому от этого легче, если его используют описанным выше способом?

baka-kun ★★★★★
()
Ответ на: комментарий от baka-kun

>И кому от этого легче, если его используют описанным выше способом?

да не отмазывайтесь :)

а то комплекс неполноценности так и прет :)))

еще никто не наехал, а вы начали доказывать что FreeBSD не сакс, и Linux по крайней мере такой же ;)

AcidumIrae ★★★★★
()
Ответ на: комментарий от abbath

вот уроды ... задрало уже linux vs fbsd .
кстати а как насчет fbsd4.x ? под нее это распространяется ? а то уменя пара гейтов еще под 4.x стоит.

j262 ★★
()

венде теперь точно писец...

tbapb
()
Ответ на: комментарий от FatBastard

>отключите PAM и будет вам Щастье. в жизни не поверю что он кому-то для удаленного входа через ssh нужен

=) Только вот есть одно маленькое "но", в FreeBSD5 sshd, PAM использует по умолчанию, и если в конфиге поставить UsePAM no, забыв там же расскоментарить PasswordAuthentication yes, сделать рестарт sshd, то при следующем коннекте будет великое щастье =) (Ососбенно если при этом сервер удалённый и закрыть все рутовские консоли :D )

gloomdemon
()
Ответ на: комментарий от FatBastard

> отключите PAM и будет вам Щастье. в жизни не поверю что он кому-то для удаленного входа через ssh нужен

Как минимум OPIE, для работы из мест где могут быть кейлоггеры. Ну и что-нибудь типа pam_chroot юзают нередко.

zzzzz
()
Ответ на: комментарий от gloomdemon

Вообще-то парольная авторизация для ssh не рулит в принципе, так что у тех кто это понял никаких проблем нет:)

FatBastard ★★
() автор топика
Ответ на: комментарий от FatBastard

>Вообще-то парольная авторизация для ssh не рулит в принципе, так что у тех кто это понял никаких проблем нет:) Предлагаешь таскать с собой флешку с ключами?

gloomdemon
()
Ответ на: комментарий от FatBastard

Ключи можно втихаря стырить с флэшки, если уж кейлоггер стоит, то можно и демона повесить, чтобы ключи с флэшки тырил.

MaratIK
()
Ответ на: комментарий от FatBastard

Я тоже так думаю но есть опять же одно но, не всегда знаешь когда тебе понадобится доступ к серверу, а флешки на которой ключи, может, так получится, не будет рядом.

gloomdemon
()

Вот млин...только вернулся со станции (с консольки перезапускал зависший sshd, причем второй раз за год), успокоился, открыл ЛОР и увидел новость... Что ж....я на себе уже попробовал, надо патчить.

X-treme
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.