Marcus H. Sachs, директор центра исследования угроз в сети Интернет при институте SANS (http://isc.sans.org), сообщил (http://isc.sans.org/diary.html?storyid=6742), что по неофициальным каналам от нескольких источников поступила информация о наличии эксплоита, позволяющего атакующим получить полный доступ к хосту через неизвестную уязвимость в OpenSSH. По полученным данным уязвимости не подвержены свежие версии OpenSSH. Информация пока носит характер слухов и не подтверждена официально, тем не менее Marcus H. Sachs настоятельно советует обновить OpenSSH при использовании старых версий пакета.URL: http://isc.sans.org/diary.html?storyid=6742
Новость: http://www.opennet.me/opennews/art.shtml?num=22511
Мне хостер прислал, чтобы переставил на другой порт или использовал только ключи.
Дал ссылки:
http://secer.org/hacktools/0day-openssh-remote-exploit.html
http://forums.hostgator.com/all-servers-ssh-access-restricte... - HostGator had turned off all SSH access to their servers.
OpenSSH v4.3? А подревнее ничего не могли раскопать?
Не глупи... на большинстве продакшенов RHEL и CentOS стоит именно 4.3
Ну, скажем "большое спасибо" Red Hat'у, который (как, впрочем и Debian) считает, что старый bullshut обновлять не надо в весь период жизни дистрибутива.Для меня остаётся страшной тайной, откуда Red Hat'овцы (и Debian'щики) взяли в свои тупые головы идею, что разработчики софта будут следить за security в своём продукте во всех ветках, начиная с версии 1.0? Они, правда, не в курсе, что такое Code Refactoring? И что при нахождении "дырки" в ветке 5.x ДАЛЕКО неочевидно, что надо править в версии 4.x?
Ну, удачи тем, кто использует Линукс.
Ваше заявление необосновано. Во-первых, редхат бакпортирует патчи безопасности, а во-вторых, более новая версия необязательно будет более безопасной.
так какие версии то подвержены уязвимости???
от щас начнецо!!!
Булшит.Так нельзя ли уточнить - какие версии уязвимы и, вашу мать, как проверить что та или иная версия (не)уязвима?(номер версии еще не показатель, могли наложить патч...а могли и не наложить).Что за партизанщина?:Е
>Булшит.Так нельзя ли уточнить - какие версии уязвимы и, вашу мать, как
>проверить что та или иная версия (не)уязвима?(номер версии еще не показатель,
>могли наложить патч...а могли и не наложить).Что за партизанщина?:ЕТупо нет никаких подробностей о характере уязвимости, помимо того, что это в итоге remote root. Весь интернет уже з@ср@ли слухами, но пока не понятно, действительно ли этот 0day существует. Но, вроде как, команда anti-sec имеет серьезную репутацию среди "этих" и скорее всего какая-то неприятная штука имеет место быть. Узнаем ближе к какой-то blackhat конференции, говорят к этому времени оно появится в паблик.
А как на RHEL обновить openssh на 5 версию ? :) , использую 5.3 со всеми последними обновлениями с RHN, но версия пакета у меня:openssh-4.3p2-29.el5
Думаю проще всего -- взять src.rpm пакет и пересобрать с новой версией
Вспоминатеся Матрица и эксплоит ssh-nuke :)
http://www.webhostingtalk.com/showthread.php?t=873301Товарищи указывают, что слухи пошли быть от приглашенных на разбор неких экспертов, которым тем больше и охотнее забашляли бы, чем больше они б нагнали страху. Ну они и нагнали.
Товарищи также совсем не исключают, что имело место предварительное ломание ссш путем руткита и создание в нем бакдора (опять же, также предположение и слухи). И когда через оный впоследствии произошло проникновение -- так, что и в логах никаких следов -- возникло впечатление и паника, что имел место данный эксплойт. Такскать, ломали уже подпиленное.
Сам же присоединяюсь к прозвучавшему мнению, что практика РедХата брать антикварную версию чего бы то ни было и без конца латать ее и конопатить во имя умозрительной стабильности достойна, как бы помягче выразиться, порицания. Они шо, самые умные? Умнее самих разработчиков?
Те, кому не нравится политика РедХата, могут спокойно использовать Debian Sid или компилировать генту.
Нет, они возможно просто немного умнее Вас, так бывает.Редхат старается обеспечить ABI совместимость в рамках релиза, а также гарантировать то, что очередной апдейт ничего не сломает. Для этого и делают security backports
>что практика РедХата брать антикварную версию чего бы то ни было и без конца латать ее и >конопатить во имя умозрительной стабильности достойна, как бы помягче выразиться, порицанияА не думал ли специалист по политикам обновлений г-н Хоменко, что изменения между пакетами, скажем, 4.3 и 4.4 отразились в Centos'e в переходе с openssh-4.3p2-28.el5 на openssh-4.3p2-29.el5, например.
То, что они не придерживаются смены основных версий продукта еще не говорит о том, что они эти пакеты не патчат.
Да нет, патчить-то они патчат -- и этим как раз изо всех сил занимаются -- но мнится мне, что тут фондамантальный некий... как бы сказать... напрасный труд, что ли.Вот когда было ядро 2.2, еще задолго до того, как прошелестел BitKeeper и воспоследовало утверждение трехмесячного цикла с merge window и -rc{1-8}, -- вспоминая то время, Линус сетовал, что немеряно деревьев существует по дистрибутивам и компаниям со своими патчами и майнтайнерами и долгий и нудный период между релизами -- мне видится, что вот такая форма workflow определенно более жизнеспособна.
Почему kernel.org поменялся так? Было ли это чьей-то удачной рационализацией? Думаю, образовалось все стихийно, а именно, в том смысле, что никто наперед не знал, что по-новому будет лучше. Но стало определенно лучше, и с тех пор продвинуть свой код в линусово дерево мечтает каждый, потому что знает, что там и только там его коду будет счастье.
А РедХат кропает как бы по старинке -- у них такой освященный годами порядок. Свои версии ядра, свои версии всех на свете прожектов, все под их QA, и в любой момент времени попадет Линус под машину -- а РедХат как был, так и продолжает. Такой позиции в партере поди что возрази! If it ain't broke, don't fix it, понимаешь, народная мудрость.
И РедХат как коммерческое предприятие, со всеми акционерами и обязанностями и клиентами и пр., охотно верю, имеет резон так поступать. Но только споспешествует это в первую очередь самой компании, а всеобщему делу опенсорц -- только во вторую очередь способствует.
Где я работаю, IT товарищи сурьезные все сплошь, и с РедХатом у них типа контракт. Но я пользоваться ффоксом 1.5 (в прошлом году, но когда уже 3-й вышел!), что поставлялся с Центосом, отказался сразу и после однодневной перепалки отключился от их внутренней сети, взамен получив машину в свое распоряжение. И с тех пор там женту, все довольны, но на чьей стороне правда -- выяснять не стали. Вот разве на опеннете ругнусь иногда.
Кстати, это может быть попытка пересадить всех на саааамую последнюю версию openssh, в которой хацкеры могли найти какой-нибудь zeroday. Осталось подождать, пока все в панике будут обновлятся и тогда у них будет большой простор для деятельности :-D
в новой новости OpenSSH 0day FUD
http://isc.sans.org/diary.html?storyid=6760
они опровергают старую новость
http://isc.sans.org/diary.html?storyid=6742Вообщем если им верить то это был FUD
> mем не менее Marcus H. Sachs настоятельно советует обновить
> OpenSSH при использовании старых версий пакета.Что б он и спонсоры из ЦРУ, АНБ и ФБР могли юзать эксплойт,
а то в старых версиях он не работает. И очень долго подбирать пароли.
Мощности IBM RoadRunner, SETI@Home, Einstain@Home не хватает...