В новых выпусках библиотеки libssh 0.8.4 и 0.7.6 (не путать с libssh2 (http://www.libssh2.org/)), предназначенной для добавления клиентской и серверной поддержки протокола SSH в программы на языке Си, устранена (https://www.openwall.com/lists/oss-security/2018/10/16/1) критическая уязвимость (https://www.libssh.org/security/advisories/CVE-2018-10933.txt) (CVE-2018-10933 (https://security-tracker.debian.org/tracker/CVE-2018-10933)). Уязвимость позволяет обойти стадию аутентификации в серверных приложениях на базе libssh.
Атака сводится к отправке сообщения SSH2_MSG_USERAUTH_SUCCESS вместо сообщения SSH2_MSG_USERAUTH_REQUEST, после чего сервер даже не начинает стадию аутентификации и считает подключение авторизованным без сверки учётных данных. Проблема проявляется начиная с ветки Libssh 0.6, выпущенной в 2014 году, в которой была проведена унификация кода реализаций клиента и сервера (клиент считает аутентификацию успешной после получения SSH2_MSG_USERAUTH_SUCCESS, но использование кода с данной проверкой при обработки серверной логики привело к возможности получения доступа вообще без аутентификации).
Для тестирования подготовлен прототип эксплоита (https://www.openwall.com/lists/oss-security/2018/10/17/5). Уязвимость проявляется только в приложениях, работающих в режиме сервера (очень редкая ситуация, так как libssh в основном используется для создания SSH-клиентов). Исключение составляет продукт GitHub Enterprise, в котором libssh также применяется и в режиме сервера. Но GitHub Enterprise не подвержен уязвимости (https://twitter.com/GitHubSecurity/status/1052358402842746880) так как использует собственный форк Libssh в котором задействованы собственные процедуры прохождения аутентификации.
URL: https://www.openwall.com/lists/oss-security/2018/10/16/1
Новость: https://www.opennet.me/opennews/art.shtml?num=49453
Прежде чем паникеры разорвутся - openssh тут не причём
А было бы очень эпично :)
Пакеты Debian юзающие libssh: qtwebengine-opensource-src, nbdkit, gst-libav1.0,
ffmpeg, curl, vlc, doublecmd, libssh, ssh-audit, wireshark.В общем хрень, в основном используется для sftp-клиентов.
где в списке plex?
Так речь не про неё. Из того, что я нашёл, вот это довольно критично:kde-apps/kio-extras-18.08.2 (sftp ? net-libs/libssh[sftp])
От ssh2 зависят mc и qemu с ssh (никогда не использовал), и захардкожена как зависимость в расте. Но опять же, она тут ни при чём, там и нумерация версий другая. Не перепутаешь.
> Так речь не про неё.fixed // regex корявенько натравил.
Не совсем правда, ведь специально можно собрать openssh с libssh
https://www.shodan.io/search?query=libssh
не много. и в основном в штатах. Эпичненько.
Сезам - откройся!
https://i.ytimg.com/vi/94F5S75ybSI/maxresdefault.jpg
а вообще кто нибудь видел вживую в консоли такое окошко "ACCESS GRANTED" ?
Я видел в фильмах
Читать то умеешь ?
спросил же - вживую
в фильмах еще не то бывает ...
Он что, мёртвый фильмы смотрел?
Причем оно должно быть обязательно мигающим и с 3D-эффектом.
> Причем оно должно быть обязательно мигающим и с 3D-эффектом.Ну так положите уже гламурную ANSI "картинку" в motd. Этим баяном еще на BBSках народ развлекался, а вы до сих пор тупите.
причем тут motd? Мало ли какой муры туда понапихали, картинка должна всплывать поверх нее. Оно должно выводиться pam'ом из session. Там коллбэк вообще-то предусмотрен, то есть, в принципе, написать можно.
Я видел неоднократно. Но это потому, что я его туда сам и нарисовал. Когда время есть, люблю в скритпы подобавлять эстетики в духе фильмов про хакеров. Работает точно так же, но в экран смотреть намного приятнее.
Очень похоже на хороший бекдорчик с 2014 года. Кто запатчил соответствующие строки?
Зачем бэкдорить libssh, которою используют полторы калеки, когда в каждый дистрибутив линукса и бзд-ы уже установлен универсальный бекдор под названием OpenSSL?
Посмотрите вот на это
https://www.openssl.org/news/vulnerabilities.html
Страница за страницей "уязвимостей" одна хуже(лучше-cia гарантирует) другой.
Кто этот код пишет что в нем столько дыр, генератор случайных чисел?
Тут уже были умники, которые решили "А напишем мы свой *SSL, простой и без багов". В результате так же, стабильно раз в пол года садятся в лужу.
Вывод: Дырок нет лишь там, где их не ищут.
Вывод неправильный.
Что, конечно, не удивительно для утопленика.
о, дартаньяны-теоретики в треде
Там все же одна критическая на десятилетие и то в одной версии. Остальное всё мелочи.
Просто такая тупая бага, как в сабже, напоминает еще в мускуле багу, которую нашли через 10 лет спустя - тоже в авторизации и без пароля. Ну извините, но это же школонизм. Нужно начинать с основ, чем пилить что-то сложное далее. Поэтому и похоже на искусственный бэкдорчик.
да нет, похоже на типичного пыoнэpa-улучшайку, начитавшегося в учебнике про необходимость и полезность унификации кода, и полезшего улучшать то, что в улучшениях не нуждалось."услужливый дурак опаснее врага".
>Поэтому и похоже на искусственный бэкдорчик.Бэкдор похож на бэкдор? Внезапно.
> Просто такая тупая бага, как в сабже
> я не человек, поэтому не совершаю ошибокМодеры, тут робот, баньте его.
какой к чорту робот, нежить обычная. Пусть бродит.
> Кто этот код пишет что в нем столько дыр, генератор случайных чисел?люди. Которым свойственно ошибаться. Особенно в такой безумной мегахрени как полная реализация ssl/tls, еще и переписываемая каждые пять лет.
вот кто и зачем этот мусор - и сам ssl/tls, и его уродливую реализацию, тащит везде, включая openssh, хотя то, с чего он склонирован, прекрасно обходилось собственными реализациями криптопримитивов,а остальное ненужное ненужно - это отдельная песня.
по хорошему ему место исключительно в браузерах (которым уже нечего терять) и ssl-vpn клиентах. Всем остальным полная реализация всех-всех наворотов протокола избыточна и вредна.
>люди. Которым свойственно ошибаться. Особенно в такой безумной мегахрени как полная реализация ssl/tls, еще и переписываемая каждые пять лет.Наивность красит только юных гимназисток. Наивный мужчина - синоним дурака.
>>люди. Которым свойственно ошибаться. Особенно в такой безумной мегахрени как полная реализация ssl/tls, еще и переписываемая каждые пять лет.
> Наивность красит только юных гимназисток. Наивный мужчина - синоним дурака.Не Аноним, я с тобой не согласен, у пох-а очень много правды сказано (если не все правда). Хотя, конечно же, Баба Яга может быть против ;)
> Атака сводится к отправке сообщения SSH2_MSG_USERAUTH_SUCCESSУх ты, а что, так можно было?! Ну нифига, оказывается достаточно было соврать что авторизован - и дело в шляпе! :D
Вот вам простенькая транскрипция ping-pong обмена по TLS: https://tls.ulfheim.net/