URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 56715
[ Назад ]

Исходное сообщение
"Неподтвержденная информация о наличии критической уязвимости..."

Отправлено opennews , 07-Июл-09 23:34 
Marcus H. Sachs, директор центра исследования угроз в сети Интернет при институте SANS (http://isc.sans.org), сообщил (http://isc.sans.org/diary.html?storyid=6742), что по неофициальным каналам от нескольких источников поступила информация о наличии эксплоита, позволяющего атакующим получить полный доступ к хосту через неизвестную уязвимость в OpenSSH. По полученным данным уязвимости не подвержены свежие версии OpenSSH. Информация пока носит характер слухов и не подтверждена официально, тем не менее Marcus H. Sachs настоятельно советует обновить OpenSSH при использовании старых версий пакета.

URL: http://isc.sans.org/diary.html?storyid=6742
Новость: http://www.opennet.me/opennews/art.shtml?num=22511


Содержание

Сообщения в этом обсуждении
"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Аноним , 07-Июл-09 23:34 
Мне хостер прислал, чтобы переставил на другой порт или использовал только ключи.
Дал ссылки:
http://secer.org/hacktools/0day-openssh-remote-exploit.html
http://forums.hostgator.com/all-servers-ssh-access-restricte... - HostGator had turned off all SSH access to their servers.

"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Andrew Kolchoogin , 08-Июл-09 00:26 
OpenSSH v4.3? А подревнее ничего не могли раскопать?

"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Аноним , 08-Июл-09 06:11 
Не глупи... на большинстве продакшенов RHEL и CentOS стоит именно 4.3

"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Andrew Kolchoogin , 08-Июл-09 15:12 
Ну, скажем "большое спасибо" Red Hat'у, который (как, впрочем и Debian) считает, что старый bullshut обновлять не надо в весь период жизни дистрибутива.

Для меня остаётся страшной тайной, откуда Red Hat'овцы (и Debian'щики) взяли в свои тупые головы идею, что разработчики софта будут следить за security в своём продукте во всех ветках, начиная с версии 1.0? Они, правда, не в курсе, что такое Code Refactoring? И что при нахождении "дырки" в ветке 5.x ДАЛЕКО неочевидно, что надо править в версии 4.x?

Ну, удачи тем, кто использует Линукс.


"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Владимир , 08-Июл-09 16:18 
Ваше заявление необосновано. Во-первых, редхат бакпортирует патчи безопасности, а во-вторых, более новая версия необязательно будет более безопасной.

"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Аноним , 08-Июл-09 09:05 
так какие версии то подвержены уязвимости???
от щас начнецо!!!

"Неподтвержденная информация о наличии критической уязвимости"
Отправлено User294 , 08-Июл-09 14:47 
Булшит.Так нельзя ли уточнить - какие версии уязвимы и, вашу мать, как проверить что та или иная версия (не)уязвима?(номер версии еще не показатель, могли наложить патч...а могли и не наложить).Что за партизанщина?:Е

"Неподтвержденная информация о наличии критической уязвимости"
Отправлено Алекс , 08-Июл-09 15:18 
>Булшит.Так нельзя ли уточнить - какие версии уязвимы и, вашу мать, как
>проверить что та или иная версия (не)уязвима?(номер версии еще не показатель,
>могли наложить патч...а могли и не наложить).Что за партизанщина?:Е

Тупо нет никаких подробностей о характере уязвимости, помимо того, что это в итоге remote root. Весь интернет уже з@ср@ли слухами, но пока не понятно, действительно ли  этот 0day существует. Но, вроде как, команда anti-sec имеет серьезную репутацию среди "этих" и скорее всего какая-то неприятная штука имеет место быть. Узнаем ближе к какой-то blackhat конференции, говорят к этому времени оно появится в паблик.


"Неподтвержденная информация о наличии критической уязвимости"
Отправлено vk , 08-Июл-09 16:48 
А как на RHEL обновить openssh на 5 версию ? :) , использую 5.3 со всеми последними обновлениями с RHN, но версия пакета у меня:

openssh-4.3p2-29.el5


"Неподтвержденная информация о наличии критической уязвимости"
Отправлено Алекс , 08-Июл-09 17:09 
Думаю проще всего -- взять src.rpm пакет и пересобрать с новой версией

"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено nirnroot , 09-Июл-09 00:12 
Вспоминатеся Матрица и эксплоит ssh-nuke :)

"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Хоменко , 09-Июл-09 03:59 
http://www.webhostingtalk.com/showthread.php?t=873301

Товарищи указывают, что слухи пошли быть от приглашенных на разбор неких экспертов, которым тем больше и охотнее забашляли бы, чем больше они б нагнали страху. Ну они и нагнали.

Товарищи также совсем не исключают, что имело место предварительное ломание ссш путем руткита и создание в нем бакдора (опять же, также предположение и слухи). И когда через оный впоследствии произошло проникновение -- так, что и в логах никаких следов -- возникло впечатление и паника, что имел место данный эксплойт. Такскать, ломали уже подпиленное.

Сам же присоединяюсь к прозвучавшему мнению, что практика РедХата брать антикварную версию чего бы то ни было и без конца латать ее и конопатить во имя умозрительной стабильности достойна, как бы помягче выразиться, порицания. Они шо, самые умные? Умнее самих разработчиков?


"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Тузик , 09-Июл-09 09:52 
Те, кому не нравится политика РедХата, могут спокойно использовать Debian Sid или компилировать генту.

"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Samm , 09-Июл-09 10:33 
Нет, они возможно просто немного умнее Вас, так бывает.

Редхат старается обеспечить ABI совместимость в рамках релиза,  а также гарантировать то, что очередной апдейт ничего не сломает. Для этого и делают security backports


"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Serg , 17-Июл-09 18:32 
>что практика РедХата брать антикварную версию чего бы то ни было и без конца латать ее и >конопатить во имя умозрительной стабильности достойна, как бы помягче выразиться, порицания

А не думал ли специалист по политикам обновлений г-н Хоменко, что изменения между пакетами, скажем, 4.3 и 4.4 отразились в Centos'e в переходе с openssh-4.3p2-28.el5 на openssh-4.3p2-29.el5, например.
То, что они не придерживаются смены основных версий продукта еще не говорит о том, что они эти пакеты не патчат.


"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Хоменко , 21-Июл-09 05:19 
Да нет, патчить-то они патчат -- и этим как раз изо всех сил занимаются -- но мнится мне, что тут фондамантальный некий... как бы сказать... напрасный труд, что ли.

Вот когда было ядро 2.2, еще задолго до того, как прошелестел BitKeeper и воспоследовало утверждение трехмесячного цикла с merge window и -rc{1-8}, -- вспоминая то время, Линус сетовал, что немеряно деревьев существует по дистрибутивам и компаниям со своими патчами и майнтайнерами и долгий и нудный период между релизами -- мне видится, что вот такая форма workflow определенно более жизнеспособна.

Почему kernel.org поменялся так? Было ли это чьей-то удачной рационализацией? Думаю, образовалось все стихийно, а именно, в том смысле, что никто наперед не знал, что по-новому будет лучше. Но стало определенно лучше, и с тех пор продвинуть свой код в линусово дерево мечтает каждый, потому что знает, что там и только там его коду будет счастье.

А РедХат кропает как бы по старинке -- у них такой освященный годами порядок. Свои версии ядра, свои версии всех на свете прожектов, все под их QA, и в любой момент времени попадет Линус под машину -- а РедХат как был, так и продолжает. Такой позиции в партере поди что возрази! If it ain't broke, don't fix it, понимаешь, народная мудрость.

И РедХат как коммерческое предприятие, со всеми акционерами и обязанностями и клиентами и пр., охотно верю, имеет резон так поступать. Но только споспешествует это в первую очередь самой компании, а всеобщему делу опенсорц -- только во вторую очередь способствует.


Где я работаю, IT товарищи сурьезные все сплошь, и с РедХатом у них типа контракт. Но я пользоваться ффоксом 1.5 (в прошлом году, но когда уже 3-й вышел!), что поставлялся с Центосом, отказался сразу и после однодневной перепалки отключился от их внутренней сети, взамен получив машину в свое распоряжение. И с тех пор там женту, все довольны, но на чьей стороне правда -- выяснять не стали. Вот разве на опеннете ругнусь иногда.


"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Алекс , 09-Июл-09 12:22 
Кстати, это может быть попытка пересадить всех на саааамую последнюю версию openssh, в которой хацкеры могли найти какой-нибудь zeroday. Осталось подождать, пока все в панике будут обновлятся и тогда у них будет большой простор для деятельности :-D

"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено Аноним , 10-Июл-09 08:41 
в новой новости OpenSSH 0day FUD
http://isc.sans.org/diary.html?storyid=6760
они опровергают старую новость
http://isc.sans.org/diary.html?storyid=6742

Вообщем если им верить то это был FUD


"Неподтвержденная информация о наличии критической уязвимости..."
Отправлено pavlinux , 11-Июл-09 00:22 
> mем не менее Marcus H. Sachs настоятельно советует обновить
> OpenSSH при использовании старых версий пакета.

Что б он и спонсоры из ЦРУ, АНБ и ФБР могли юзать эксплойт,
а то в старых версиях он не работает. И очень долго подбирать пароли.
Мощности IBM RoadRunner, SETI@Home, Einstain@Home не хватает...