Удаленная уязвимость в FreeBSD 5.3 и 5.4

Не упомянуто еще два способа обойти проблему с этим crypto _contrib_:

1) пересобрать поставляемый с системой OpenSSH с поддержкой нитей вместо процессов (make -DOPENSSH_USE_POSIX_THREADS).

2) cd /usr/ports/security/openssh && make install


PS. Сейчас начнется крик анонимусов, непонимающих, что ошибка в OpenSSH касается всех, кто его использует.

PPS. Естественно, никто опять не посчитает это проблемой линукса. Ведь с ним в комплекте не идет OpenSSH... ;)

s/анонимусов/бывших анонимусов/ в свете закрытия темы. ;)

Я не понимаю, почему тогда такое неправильное название у новости...

Корректнее "Удаленная уязвимость в OpenSSH X.XX."

уязвимые системы:...

И при этом БСД-шники говорят что Линукс - сакс, дырявая проститутка...

Нада будет повесить этих гадов :)

Гы, да это в 5 ветке уязвимость, 6 не касается. 5 ветка сдохла уже давно...

А что касается линукса, то ви таки шо, openssh под него не используете? Мне кажется в свете дырявости линуха ssh там просто не нужен. А красноглазые к любой критической дырке на выбор pam и шифрование приделают :))

Шестая удаленная уязвимость в FreeBSD за неполных два месяца... Я фигею...

Причем тут линукс или openssh ?? Ясно написано, что проблема в особенности архитектуры OpenPAM. На линуксе свой, родной PAM.

> Причем тут линукс или openssh ??

При том, что _OpenSSH_ проводит PAM аутентификацию в отдельном процессе либо ните. В первом случае отсутствовала проверка ситуации, когда родитель умирал раньше потомка. Это приводило к съезжании крыши у предка родителя, что заканчивалось DoS.

> На линуксе свой, родной PAM.

И кому от этого легче, если его используют описанным выше способом?

>И кому от этого легче, если его используют описанным выше способом?

да не отмазывайтесь :)

а то комплекс неполноценности так и прет :)))

еще никто не наехал, а вы начали доказывать что FreeBSD не сакс, и Linux по крайней мере такой же ;)

а что fbsd 6 этому не подвержена чтоле ?

вот уроды ... задрало уже linux vs fbsd .
кстати а как насчет fbsd4.x ? под нее это распространяется ? а то уменя пара гейтов еще под 4.x стоит.

отключите PAM и будет вам Щастье. в жизни не поверю что он кому-то для удаленного входа через ssh нужен

венде теперь точно писец...

>отключите PAM и будет вам Щастье. в жизни не поверю что он кому-то для удаленного входа через ssh нужен

=) Только вот есть одно маленькое "но", в FreeBSD5 sshd, PAM использует по умолчанию, и если в конфиге поставить UsePAM no, забыв там же расскоментарить PasswordAuthentication yes, сделать рестарт sshd, то при следующем коннекте будет великое щастье =) (Ососбенно если при этом сервер удалённый и закрыть все рутовские консоли :D )

> отключите PAM и будет вам Щастье. в жизни не поверю что он кому-то для удаленного входа через ssh нужен

Как минимум OPIE, для работы из мест где могут быть кейлоггеры. Ну и что-нибудь типа pam_chroot юзают нередко.

Вообще-то парольная авторизация для ssh не рулит в принципе, так что у тех кто это понял никаких проблем нет:)

>Вообще-то парольная авторизация для ssh не рулит в принципе, так что у тех кто это понял никаких проблем нет:) Предлагаешь таскать с собой флешку с ключами?

да

Ключи можно втихаря стырить с флэшки, если уж кейлоггер стоит, то можно и демона повесить, чтобы ключи с флэшки тырил.

Я тоже так думаю но есть опять же одно но, не всегда знаешь когда тебе понадобится доступ к серверу, а флешки на которой ключи, может, так получится, не будет рядом.

Вот млин...только вернулся со станции (с консольки перезапускал зависший sshd, причем второй раз за год), успокоился, открыл ЛОР и увидел новость... Что ж....я на себе уже попробовал, надо патчить.

Молодец!
Классный пост, я поржал :)))
Респект.