LINUX.ORG.RU
НовостиБезопасность

OpenSSH: multiple vulnerabilities in the new PAM code


0

0

Вот - опять! - полюбуйтесь.
Я, если честно, уже запутался. В каких ветках фрюхи уже или еще все ок, а порты вот-вот будут или еще не скоро, рпм, емерджсинки...
Но надо косить. А по сему - апгрейд-апгрейд-апгрейд...


1. Versions affected:

Portable OpenSSH versions 3.7p1 and 3.7.1p1 contain multiple
vulnerabilities in the new PAM code. At least one of these bugs
is remotely exploitable (under a non-standard configuration,
with privsep disabled).

The OpenBSD releases of OpenSSH do not contain this code and
are not vulnerable. Older versions of portable OpenSSH are not
vulnerable.

2. Solution:

Upgrade to Portable OpenSSH 3.7.1p2 or disable PAM
support ("UsePam no" in sshd_config).

Due to complexity, inconsistencies in the specification and
differences between vendors' PAM implementations we recommend
that PAM be left disabled in sshd_config unless there is a need
for its use. Sites only using public key or simple password
authentication usually have little need to enable PAM

anonymous

Проверено: green
Jabber vs. ICQ.
Сравнительное тестирование нового шедулера в ядре

>А в Слаке нет PAM

потому что слака говно.

borisych ★★★★★
()

Кто-нибудь толком может объяснить - почему?
Почему как из рога изобилия эти баги посыпались?
Третий фикс за последнюю неделю - не многовато ли будет?

anonymous
() 

Есть оно в слаке...
Но ночью уже патч готов был...
upgradepkg ужо сделал.

anonymous
()

Slackware is not vulnerable to the PAM problem, and it is not believed that any of the other code cleanups fix exploitable security problems, not nevertheless sites may wish to upgrade.

Slackware Linux Security Team

anonymous
()

Хех... видать народ обиделся что только мелкософт постоянно заплаты выпускает и решил поддержать их со стороны никсов :)

anonymous
()

мне кажется дело в том что мс было обосрато немного - сыпались один за одним ms ie, ms dcom, etc - очень похоже что копали под мс и копали китайцы - мсу надо было показать что опен осы не надежнее и поэтому как и ожидалось посыпались sendmail и openssh ..

lg ★★
()

вот уж теперь детишки вроде stalsen'a со своим RTK повеселятся =)

anonymous
()

-

under a non-standard configuration, with privsep disabled

Чего боитесь ? По дефолту privsep включено

Sun-ch
()

Может просто чисткой кода занялись - вот вам и рог изобилия.

anonymous
()

-

вот уж теперь детишки вроде stalsen'a со своим RTK повеселятся =)

Боишься ? Правильно боишься.

Sun-ch
()

RedHat 9.0 с настройками по умолчанию, не подвержена данной уязвимости.

anonymous
()
Ответ на: комментарий от R3M

>А в Слаке нет PAM

я конечно знал, что слака говно, но не до такой же степени!

anonymous
()

openssh на помойку. это сервис-гейт в святая святых - источник/хранилище информации. openssh аналогично деревянным дверям в банк.

религия не позволяет использовать non-commercial от ssh.com?

anonymous
()

2 borisych
Ты бы такое не говорил, ок?
Я же не говорю, что любимая тобой дженту говно

Deleted
()

-

религия не позволяет использовать non-commercial от ssh.com?

А там что святые ?

Sun-ch
()

2anonymous (*) (2003-09-24 15:08:41.307729)
Тебе ничего не буду отвечать, вспомни лишь бородатый анекдот - "Мужик, ну ты сам понял, да?"

Deleted
()

2Sun-ch
Да не... просто постабильнее, в угоду меньшей функциональности. И опять же, из-за гораздо меньшего процента пользования ею - дыр гораздо меньше :)

Deleted
()

Dimez, а M$ terminal service вообще получается неуязвим коли им почти никто не пользуется?

anonymous
()

Мля, я ж смайл поставил, понимать надо, да? :) И, кстати, пользуются terminal services, не надо :)

Deleted
()

Ай да маладца слака! Опять впереди планеты всей. Не зря от PAM
отказались. Толку от него - чуть, а вот на багтреке с дырами
в безопасности светится уже третий или четвертый раз. И эта
софтина была призвана повысить безопасность системы ;)

anonymous
()

слака смотрит на года вперед!

anonymous
()
Ответ на: комментарий от Deleted

>Мля, я ж смайл поставил, понимать надо, да? :) И, кстати, пользуются terminal services, не надо :)

нет маньяков, использующих его в _инете_

anonymous
()
Ответ на: комментарий от anonymous

>софтина была призвана повысить безопасность системы ;)

дубина, PAM не для того предназначен.
а ну марш на google.com искать для чего нужен PAM и не позорься тут

anonymous
()

>Ты бы такое не говорил, ок? Я же не говорю, что любимая тобой дженту говно

а типа отсутствие pam это кул 7 а отсутствие nss тоже кул ? и вообще нифиг на серваках пользователей держать ?

borisych ★★★★★
()
Ответ на: комментарий от anonymous


Так и знал, что какая-нибудь шавка обязательно тявкнет ;(
Ну вот, например, что google выдает:

PAM creates independent modules that verify passwords and tell
the appropriate program ( login ) that the entered password is
correct. This _greatly_ _increases_ _security_ (since PAM can
tell passwd that a given password is too easy to guess), and
also increases the ways of authenticating a user.

anonymous
()

Почему PAM является какашкой? Патаму шта:
- сделан через жопу
- неоправданно усложняет схему аутентификации и создает незаметные на первый взгляд дырочки.
- неоднократно появлялся на багтреке в разделе "дыры в безопасности"

Уже за один последний пункт он не имеет права считаться
серверным софтом. Впрочем, так же, как bind, sendmail, openssh...

anonymous
()

>>неоправданно усложняет схему аутентификации и создает незаметные на первый взгляд дырочки.

совсем наоборот.

>>неоднократно появлялся на багтреке в разделе "дыры в безопасности"

это из пальца высосано ??

>>сделан через жопу

imho, если к нему существует столько модулей, то ни о какой жопе и речи быть не может.

borisych ★★★★★
()
Ответ на: комментарий от borisych

> >>неоднократно появлялся на багтреке в разделе "дыры в безопасности"
> это из пальца высосано ??

Ага. Этот палец называется интернет.
http://www.google.com.ru/search?q=PAM+security

anonymous
()
Ответ на: комментарий от borisych


>imho, если к нему существует столько модулей, то ни о какой жопе и речи быть не может.

А миллионы мух, как известно, ошибаться не могут.

anonymous
()

>Ага. Этот палец называется интернет. http://www.google.com.ru/search?q=PAM+security

а я уж было повелся.... :) первые две ссылки какое-то гонево, не относящееся к дыркам, все остальные >3 летней давности.

borisych ★★★★★
()

Да если даже тебя мордой ткнуть в эти дырки, ты все равно
скажешь, что плохо видишь, туго слышишь и плохо соображаешь ;)

anonymous
()

для танкистов :

набираем в гугле pam vulnerability - все ссылки трехлетней давности

а если наберем sendmail vulnerability - последняя 17 сентября

borisych ★★★★★
()

хотя был баг в pam_wheel (16/6/2003) , но какой-то надуманный...

borisych ★★★★★
()

This _greatly_ _increases_ _security_ (since PAM can
tell passwd that a given password is too easy to guess), and
also increases the ways of authenticating a user.

И эти люди будут меня учить как выбирать пароли?

alman ★★★
()
Ответ на: комментарий от anonymous

они хоть патчи выпускают оперативно...

anonymous
()

2 borisych Идеология Slackware такая, что хочешь - то и сделай По умолчанию pam'а нету, хочешь, чтобы был - ставь, прикручивается - на ура(я, правда, не прикручивал, ибо нах не надо)

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Jabber vs. ICQ.
Безопасность
Сравнительное тестирование нового шедулера в ядре