Релиз OpenSSH 9.8p1 с исправлением уязвимости

maxcom ты очень быстро подтвердил. Я не успел доредактировать :D

Добавь вот это в текст плз:

Атака продемонстрирована пока что только в лабораторных условиях на 32-битных системах и занимает порядка 6-8 часов. 64-битные системы в теории тоже уязвимы, но из-за гораздо большего пространства адресов, используемого для ASLR, эксплуатация пока что не была возможной.

Ага, я уже про это написал, сейчас заменю на твой вариант.

Традиционно: решето.

только в лабораторных условиях на 32-битных системах

Осталось найти лабораторию и 32-битный сервер...

Осталось найти лабораторию и 32-битный сервер…

32-битных железок дохрена. Весь STM32. Мир встройки он чудовищно разнообразный: в мире сто пудово есть куча STM32 железок на лялексе, которые торчат SSH как минимум в LAN.

32-битных железок дохрена. Весь STM32.

И на них, конечно же, 32-битный слюникс с glibc и openssh.

Там дыра в том, что OpenSSH в люниксе после LoginGraceTime (120 секунд дефолт) ловит SIGALRM, обработчик которого потом зовёт всякие небезопасные функции типа syslog(). Поэтому для эксплуатации нужно делать 100500 висящих соединений и ждать-ждать-ждать, пока у одного из них гонка сработает.

В случае с STM32 это всё вряд ли случится.

в мире сто пудово есть куча STM32 железок на лялексе, которые торчат SSH как минимум в LAN.

Ставлю пиво, что на таких железках поголовно dropbear или busybox.

В случае с STM32 это всё вряд ли случится.

Они достаточно быстрые, их никто не мониторит, так что почему бы и нет?

Ставлю пиво, что на таких железках поголовно dropbear или busybox.

Это вероятно, но не всегда.

Это вероятно, но не всегда.

Да нет, почти наверняка всегда. Туда glibc тупо по памяти не влезет. Типичная плата с STM32 имеет несколько метров в лучше случае.

Я скорее поверю в какую-нибудь древнюю говноплату на armv6 с дебианом чем в STM32 с glibc.

Я доделяль

Р Е Ш Е Т О !
Е Ш Е Т О ! Р
Ш Е Т О ! Р Е
Е Т О ! Р Е Ш
Т О ! Р Е Ш Е
О ! Р Е Ш Е Т
! Р Е Ш Е Т О

Весь STM32

OpenSSH на STM32? Кста, на каких STM32 запускается лялегз? Неужели порт есть, no-MMU?

ну типа https://elinux.org/STM32

а лол там арм везде

поголовно dropbear или busybox.

В массе да, но далеко не на всех. OpenSSH тоже есть.

Странно, про MMU ничего не пишут https://www.st.com/en/microcontrollers-microprocessors/stm32f769ni.html Знаю что uClinux давно влился в основную ветку, но всё же, неужели и софт до сих пор это умеет? Хотя, что может мешать этому

Весь STM32

Ты тупой, не пиши ничего больше про эту область. Кроме не прям популярного MP1 в stm32 семействе чего-то на чём бы МАССОВО крутился линукс c openssh не существует.

А вот 32-bit armv4-7 железок с openssh в мире до чёрта, но в большинстве своём они голой жопой в интернеты торчат редко, обычно или в lan, или в cgnat.

Ты тупой, не пиши ничего больше про эту область. Кроме не прям популярного MP1 в stm32 семействе чего-то на чём бы МАССОВО крутился линукс c openssh не существует.

Куча ARM бордов, лол.

Молодцы. Орлы.

Можно добавить, что в качестве временного решения до обновления можно выставить LoginGraceTime в 0 в sshd_config и перезапустить демон. sshd всё ещё будет уязвим для DoS, но код удалённо будет уже не выполнить.

Хм, в фрибсд12 которую я использую версия 9.1 - теоретически уязвимо? С другой стороны, на большинстве экземпляров 64 бита, да и голый ssh в инет уже давным давно не свечу.

На самом деле, эту дыру без проблем закрывает fail2ban, который, я надеюсь, настроен у каждого адекватного админа локалхоста.

Они, кстати, завели fail2ban прямо в OpenSSH. Он теперь эту срань сам умеет, без костылей снаружи.

Во freebsd-security@ пишут, что это регрессия от CVE-2006-5051 которую уже фиксили и снова внесли в OpenSSH 8.5p1 случайно. Так что похоже да, уязвимо. Я на своих машинах выставил LoginGraceTime до того момента, когда руки дойдут до обновления. Ребята даже freefall и кластер начали обновлять экстренно.

Про решето уже писали?

Да.

В OpenSSH нашли дыру

Не дыру, а ошибочно созданное технологическое отверстие)

И не в openssh, а в glibc.

Давно пора этого монстра выкинуть и переписать на Rust альтернативу попроще.

Зачем вообще ему рут?

Rust не добавляет безопасности - только прямые руки разработчика.

Зачем вообще ему рут?

Чтобы тебя залогинить под твоим пользователем.

Зачем вообще ему рут?

Чтобы тебя залогинить под твоим пользователем.

В современном мире рут для этого нахрен не всрался. Можно запускать ssh-сервер под каждого нужного юзера и всё. Заодно выкинуть концепт привилегированных портов (<1024) и тупо выдать каждому юзеру отдельный интерфейс со своим IP. Хоть какое-то применение IPv6 будет.

В современном мире рут для этого нахрен не всрался. Можно запускать ssh-сервер под каждого нужного юзера и всё.

Нет, нельзя. LDAP, скрипты PAM, вот это все. Ну и я полагаю они сейчас отойдут от этой истории – будет сетевой процесс, который тупо коннекты принимает, будет рутовый процесс, который тебя логинит. А дальше сессия от пользователя.

Ещё как добавляет, убирает целый класс уязвимостей.

Зачем вообще ему рут?

Чтобы тебя залогинить под твоим пользователем.

Для этого достаточно быть запущенным под моим пользователем.

Нет, нельзя. LDAP, скрипты PAM, вот это все

Это всё не нужно. На моём локалхосте этого нет, значит никому не нужно. А безопасность нужна всем.

Нет, нельзя. LDAP, скрипты PAM, вот это все.

Про LDAP согласен. PAM можно в принципе под юзером пускать.

На моём локалхосте этого нет, значит никому не нужно.

Ну… форкай, пиши свой.

Рутовый всё равно будет как-то общаться с сетевым, не?

OpenBSD же всё ещё остаётся оплотом безопасности.

оплотом безумия и вотчиной маньяков.

Плюс fail2ban в том, что он не только с opens работает.

Да, у них есть imsg через unix socket. Но это сильно меньше действий.

И не нашли, а случайно наткнулись...

Ещё как добавляет, убирает целый класс уязвимостей.

... заменяя их на свои...

Давно пора этого монстра выкинуть и переписать на Rust альтернативу попроще.

А чего мелочиться? Нужно просто взять и переписать linux и весь софт для него на Java.

И часто админы настраивают fail2ban на таймауты? Потому что никакого fail на авторизацию нет, вся суть уязвимости в том, что вместо того, чтобы получать ключи-пароли, sshd простаивает до самого SIGALRM.

Более того, что-то я сходу не нахожу в логах хоть что-нибудь про таймауты, по крайней мере с LogLevel INFO.

И часто админы настраивают fail2ban на таймауты?

Админы настраивают fail2ban на количество подключений. Если у тебя с одного IP внезапно сотня подключений раз за разом, то наверное что-то не так.

И только на 32-разрядных системах. Если 32-битные архитектуры и используются, то в эмбедеде. А там для отладки существует serial console.

А вот 32-bit armv4-7 железок с openssh в мире до чёрта

Зачем он им?

Если у тебя с одного IP внезапно сотня подключений раз за разом

Давно таких скрипткидов не видел, сплошные боты из китайского сегмента и клиенты прокси-ферм на айпишниках опсосов. С последними fail2ban малоэффективен будет.

в лабораторных условиях на 32-битных системах и занимает порядка 6-8 часов

Расходимся.

Ну так и не юзай на своём локалхосте openssh, кто ж тебя заставляет? Ставь dropbear и вперед.