Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от opennews (ok), 29-Авг-18, 21:42 | ||
Спустя менее недели с момента обнаружения прошлой проблемы (https://www.opennet.me/opennews/art.shtml?num=49142) в OpenSSH, позволявшей удалённо определить существует ли пользователь с данным именем в системе, выявлена (http://openwall.com/lists/oss-security/2018/08/28/2) ещё одна аналогичная уязвимость (CVE-2018-15919 (https://security-tracker.debian.org/tracker/CVE-2018-15919)). Проблема присутствует с 2011 года и проявляется в том числе в несколько дней назад опубликованном выпуске OpenSSH 7.8. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +3 +/– | |
Сообщение от gred (ok), 29-Авг-18, 21:42 | ||
ну узнали они что есть допустим root. и что дальше-то??? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +10 +/– | |
Сообщение от Hgtuugt (?), 29-Авг-18, 21:49 | ||
Ни байта врагу! | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
3. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +3 +/– | |
Сообщение от Китайский ботнет (?), 29-Авг-18, 21:51 | ||
И подбираем твой ключ несколько миллиардов лет чтобы после взлома включить тебя в единую сеть. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
6. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +8 +/– | |
Сообщение от Американский ботнет (?), 29-Авг-18, 22:00 | ||
Ваш ботнет отстой! Вот у нас каждый подключён к нашему ботнету через Android, Apple и Windows 10. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
4. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +2 +/– | |
Сообщение от Аноним (4), 29-Авг-18, 21:52 | ||
Мб некоторые ставят слабый пароль на обычного юзера в расчёте на то, что 1) атакующему неизвестен логин, 2) юзер без рутовых прав не так опасен. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
41. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +1 +/– | |
Сообщение от x3who (?), 30-Авг-18, 15:22 | ||
В любом случае, угадать логин и пароль значительно сложнее чем перебрать логины а потом пароли к найденному логину. (да не услышат меня писатели ентерпрайзных полиси и да не заэнфорсят ограничения на простоту логинов) | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
13. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –2 +/– | |
Сообщение от Аноним (-), 29-Авг-18, 22:50 | ||
Дальше удовлетворятся этим знанием и распилял бабла) | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
17. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +3 +/– | |
Сообщение от Анонимусис (?), 29-Авг-18, 23:54 | ||
Рубежи обороны | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
25. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +1 +/– | |
Сообщение от Волжанин (?), 30-Авг-18, 06:35 | ||
А ещё, зная пароль пользователя в системе Y, можно сразу попытаться войти в систему X с именем пользователя и паролем из системы Y. Вне зависимости от того, точно известно, что в системе X есть такой пользователь, или только предполагается. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
33. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Урри (?), 30-Авг-18, 11:57 | ||
Что лучше - подбирать по словарю существующего пользователя, или вероятно не существующего? | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
18. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от pavard (ok), 30-Авг-18, 00:37 | ||
дальше пробуются пароли для аналогичного ника, утекшие через какой-нибудь форум. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
19. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +3 +/– | |
Сообщение от Сигизмунд Точка (?), 30-Авг-18, 00:54 | ||
> ssh | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
23. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от pavard (ok), 30-Авг-18, 01:32 | ||
почти никто не отклчючает аутентификацию по паролю, разместив свой ключ на машине. это раз. два - по моим представлениям( субъективным ощущениям ) людей живущих исключительно на паролях - в районе половины. тобишь как не крути... | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
24. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от angra (ok), 30-Авг-18, 03:50 | ||
Для того чтобы отключить что-нибудь ненужное, надо сначала включить это ненужное. Зачем устанавливать юзеру пароль, если можно сразу поставить публичный ключ? | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
34. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от metakeks (?), 30-Авг-18, 12:30 | ||
Тоже есть обратная сторона. Ключ так же можно угнать. А на 100 серверов 100 ключей запароленных держать - это мало кто возьмётся. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
37. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +1 +/– | |
Сообщение от pavard (ok), 30-Авг-18, 13:54 | ||
ты похоже не пользуешься ключами( не понимаешь как они работают ). | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
40. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от Аноним (40), 30-Авг-18, 14:55 | ||
А как они работают? | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
42. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –2 +/– | |
Сообщение от x3who (?), 30-Авг-18, 15:27 | ||
> А как они работают? | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
44. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Аноним (44), 30-Авг-18, 15:33 | ||
Ох, малыш. Про то, что можно иметь несколько ключей в разных местах хранящихся ты не слышал, да? | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
48. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от AS (??), 30-Авг-18, 16:17 | ||
а мой старый ноут как раз 11 лет проработал и сдох HDD. а флешку с ключами запасными постирал случайно в ст. машине с неделю назад. пришлось вспоминать детский матерный стишок из 10 строчек, который в лат. раскладке и был у меня паролем. но моя мораль совсем из др. оперы: | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
46. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от pavard (ok), 30-Авг-18, 15:44 | ||
если ты мог подключиться с утюга - значит на нем есть копия приватного ключа, на случай если у тебя сдох комп. вот с него и заходи, с него и восстанавливай приватный ключ. | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
47. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от x3who (?), 30-Авг-18, 16:01 | ||
> с утюга - значит | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
49. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Аноним (44), 30-Авг-18, 18:52 | ||
За копию приватного ключа нужно бить по роже. На каждом девайсе должен быть свой ключ чья публичная часть должна быть на сервере. | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
51. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от cutlass (?), 31-Авг-18, 07:11 | ||
Всё верно сказал. Я как-то почти наступил на эти грабли и осознав последствия хожу по случайному паролю из 20 символов. | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
32. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от ЖопорукийТорвальдс (?), 30-Авг-18, 11:02 | ||
А то что брут форсу теперь легче логин подобрать. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
5. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +1 +/– | |
Сообщение от Аноним (-), 29-Авг-18, 21:54 | ||
Чото странное в новости, у меня все новые sshd всегда ругаются на too many даже при наличии пользователя | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
16. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от asand3r (ok), 29-Авг-18, 23:43 | ||
У вас просто версия выпущенная до 2011 года. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
7. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +1 +/– | |
Сообщение от Аноним (7), 29-Авг-18, 22:10 | ||
Ну так весь фикс в том, чтобы система обрубала соединение при множестве ошибках аутентификации при любом раскладе, есть такой пользователь или нет. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
14. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Аноним (-), 29-Авг-18, 22:52 | ||
Спасибо за толковый совет! | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
8. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от Аноним (8), 29-Авг-18, 22:19 | ||
Извиняюсь за оффтоп, но может быть кто-нибудь знает, можно ли на манке настроить возможность подключения по ссш когда пользователь не залогинен графически? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
10. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Аноним (10), 29-Авг-18, 22:41 | ||
Можно. Я настроил. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
9. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от Китайский кулхацкер (?), 29-Авг-18, 22:35 | ||
Я уже разогреваю masscan и hydra, лаовай. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
11. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Аноним (10), 29-Авг-18, 22:43 | ||
Хорошо у всех машин на облачном хостинге есть пользователь root с паролем из 32 символов. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
20. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Сигизмунд Точка (?), 30-Авг-18, 00:58 | ||
Есть пользователь root с passwd -l. и PermitRootLogin no. И еще по 30-50 пользователей с такими же параметрами. Удачи в переборе. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
12. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +13 +/– | |
Сообщение от Аноним (-), 29-Авг-18, 22:49 | ||
Не люблю когда меня определяют. Я сам решаю, определяться или нет, а вот когда майор влезает и начинает чего-то определять за меня, шпионством заниматься, то это такое... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
43. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от x3who (?), 30-Авг-18, 15:32 | ||
> Я сам решаю, определяться или нет, а вот когда майор влезает и начинает чего-то определять за меня | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
15. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +5 +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 29-Авг-18, 22:54 | ||
На всякий случай: очень, очень мало существует ПО, которое аналогично SSH реально пытается противодействовать атакам на определение факта существования пользователя (то есть не просто возвращают одинаковое «access denied», а нивелируют как минимум тайминг-атаки). Так что если это считать реальной уязвимостью, то что тогда делать с 99% других сервисов, позволяющих получить аналогичную информацию ровно такими же методами? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
21. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Сигизмунд Точка (?), 30-Авг-18, 01:01 | ||
Это считается просто раскрытием информации но никак не критической уязвимостью. В oss-security уже обсосали. Весь шум подняли параноики не разобравшись в вопросе. В том же Apache таких дырок по 30 штук в год находят и всем (ну почти) нет до них дела. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
27. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Ленивый Перерезус (?), 30-Авг-18, 09:21 | ||
> Это считается просто раскрытием информации но никак не критической уязвимостью. В oss-security | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
22. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Сигизмунд Точка (?), 30-Авг-18, 01:05 | ||
Специально для параноиков: | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
26. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от lone_wolf (ok), 30-Авг-18, 09:07 | ||
> Crazy workaround - создать пару десятков тысяч пользователей с disabled login. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
28. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от Нанобот (ok), 30-Авг-18, 09:23 | ||
для параноиков не катит - они будут бояться, что какой-то из этих тысяч пользователей сможет залогиниться, несмотря на запрет | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
38. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от metakeks (?), 30-Авг-18, 14:00 | ||
У докеристов кровь из глаз не пошла? :) | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
29. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Аноним (29), 30-Авг-18, 09:24 | ||
Уязвимость конечно нужно исправлять. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
45. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от x3who (?), 30-Авг-18, 15:36 | ||
> Fail2Ban уже "изобрели" | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
30. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от lone_wolf (ok), 30-Авг-18, 09:41 | ||
Самое обидное что в CentOS до сих пор не бекпортировали исправления из версии 7.8, для предыдущей уязвимости. Хотя о чем это я в Fedora 7.8 есче пока в тестовом репозитории. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
31. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –3 +/– | |
Сообщение от Andrey Mitrofanov (?), 30-Авг-18, 09:47 | ||
>в CentOS до сих пор не бекпортировали исправления из | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
35. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от lone_wolf (ok), 30-Авг-18, 12:41 | ||
Причем тут новый релиз к накладыванию патчей? Если бы я сказал про новые фичи да тут бы был уместен ваш сарказм, и т.д. | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
36. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –2 +/– | |
Сообщение от Andrey Mitrofanov (?), 30-Авг-18, 12:58 | ||
> Причем тут новый релиз к накладыванию патчей? Если бы я сказал про | ||
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору |
39. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от lone_wolf (ok), 30-Авг-18, 14:02 | ||
> Ты ж про центос там выше "скучал"? Мне казалось, что они из исходников всё пересобирают, а рхел исходники не сразу даёт. Я о них "плохо подумал"? | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
50. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –1 +/– | |
Сообщение от Аноним (50), 31-Авг-18, 04:32 | ||
Что плохого в подключении по паролю к root с 60-значным паролем? Например 82wH7BSVF5oEhVF8c9RvN7Gll2ycFZIorygBsmoSIfYclPTSLHqwmGoq8tPC | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
52. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +1 +/– | |
Сообщение от Аноним (-), 31-Авг-18, 10:01 | ||
да | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
53. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | –2 +/– | |
Сообщение от Аноним (50), 31-Авг-18, 11:13 | ||
Так что плохого-то? Кто сможет перебрать длюннющий пароль, тем более при включенном fail2ban? | ||
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору |
54. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от nox (??), 03-Сен-18, 13:53 | ||
Его не нужно перебирать, если у тебя на лэптопе завёлся кейлоггер или еще какая гадость. Конечно троян и ключ может увести, но поменять/ревокнуть ключ на 1000 серверов много проще, чем тоже самое с паролем (они же уникальные должны быть) | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
57. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от 1 (??), 05-Сен-18, 16:50 | ||
>Конечно троян и ключ может увести | ||
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору |
55. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +1 +/– | |
Сообщение от Аноним (55), 03-Сен-18, 18:25 | ||
Воспользовался уязвимостью в OpenSSH и с уверенностью могу сказать пользователи существуют ;) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
56. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..." | +/– | |
Сообщение от Andrey Mitrofanov (?), 04-Сен-18, 11:00 | ||
>пользователи существуют | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |