Kandu.dk - Er Debian ssh sårbar for "Kerberos 4 TGT/AFS Token Buffe


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Er Debian ssh sårbar for "Kerberos 4 TGT/A~
Fra : Allan Olesen

Dato : 17-06-02 23:58

Jeg er faldet over denne sårbarhed i openssh:

http://online.securityfocus.com/bid/4560

Den har åbenbart været kendt siden midt i april.

Så vidt jeg kan se ud af versionsnummeret, bør den version af
ssh, der følger med Debian Woody, være sårbar. Jeg har søgt en
del og kan ikke finde noget "officielt" om, hvorvidt Debian er
ramt.

På ovennævnte side er der en exploit, som jeg har hentet og
kompileret. Den kommer med følgende output:

$ ./tgt 127.0.0.1 allan detkunneinokgodttænkejeratvide

connected
remote protocol version 2.0, software version -- OpenSSH_3.0.2p1
--
client protocol:SSH-1.5-1.3.0
waiting for server public key

FATAL: invalid packet length 1349676916

....og nu sidder jeg så og spekulerer på, om det betyder, at min
maskine er sikker - eller om det betyder, at min ssh ikke
virker...

(Jeg kan i øvrigt se, at tallet 1349676916 nævnes ret tit i
forbindelse med kommunikationsfejl i ssh. Det er tilsyneladende
ascii-værdierne af strengen "Prot" omsat til en lang integer, og
den ender i nogle pakker der, hvor pakkelængden skulle angives -
men det tyder jo egentlig mest på, at min ssh ikke fungerer.)

Nogen, der kan kaste lidt lys over det?

--
Allan

Kim Hansen (18-06-2002)

Kommentar
Fra : Kim Hansen

Dato : 18-06-02 00:32

Allan Olesen <aolesen@post3.tele.dk> writes:

> Jeg er faldet over denne sårbarhed i openssh:
>
> http://online.securityfocus.com/bid/4560
[ snip ]
>
> Nogen, der kan kaste lidt lys over det?

Jeg har kigget i source-pakken til Woody, og der er det ikke rettet.

Det ser til gengæld ud til at det ikke er noget problem sålænge man
ikke bruger KerberosTgtPassing med AFS, er der nogen der kan
bekræftige mig i den antagelse?

Men jeg kan heller ikke finde det som bug på ssh-pakken, og det
underer mig lidt.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

Alex Holst (18-06-2002)

Kommentar
Fra : Alex Holst

Dato : 18-06-02 01:47

Kim Hansen <k-tahf.qvxh@oek.dk> wrote:
> Det ser til gengæld ud til at det ikke er noget problem sålænge man
> ikke bruger KerberosTgtPassing med AFS, er der nogen der kan
> bekræftige mig i den antagelse?

Det er korrekt:

"Versions prior to OpenSSH 3.2.1 allow privileged access if
AFS/Kerberos token passing is compiled in and enabled (either in
the system or in sshd_config)."

<http://www.openssh.com/security.html>

Hvorledes landet ligger i Debian's pakker er jeg ikke klar over, men
problemet er ikke beskrevet paa Debian's security alert side:

<http://www.debian.org/security/2002/>

HTH,
Alex

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Kim Hansen (18-06-2002)

Kommentar
Fra : Kim Hansen

Dato : 18-06-02 01:57

Alex Holst <a@area51.dk> writes:

> Kim Hansen <k-tahf.qvxh@oek.dk> wrote:
> > Det ser til gengæld ud til at det ikke er noget problem sålænge man
> > ikke bruger KerberosTgtPassing med AFS, er der nogen der kan
> > bekræftige mig i den antagelse?
>
> Det er korrekt:
>
> "Versions prior to OpenSSH 3.2.1 allow privileged access if
> AFS/Kerberos token passing is compiled in and enabled (either in
> the system or in sshd_config)."
>
> <http://www.openssh.com/security.html>

Godt nok :)

> Hvorledes landet ligger i Debian's pakker er jeg ikke klar over, men
> problemet er ikke beskrevet paa Debian's security alert side:
>
> <http://www.debian.org/security/2002/>

Men det skal det heller ikke, da versionen i stable er 1.2.3 eller
noget i den stil, og derfor ikke berørt af fejlen. Fejl i testing og
unstable bliver ikke annonceret.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

Allan Olesen (27-06-2002)

Kommentar
Fra : Allan Olesen

Dato : 27-06-02 19:57

Alex Holst <a@area51.dk> wrote:

>Det er korrekt:
>
> "Versions prior to OpenSSH 3.2.1 allow privileged access if
> AFS/Kerberos token passing is compiled in and enabled (either in
> the system or in sshd_config)."
>
> <http://www.openssh.com/security.html>
>
>Hvorledes landet ligger i Debian's pakker er jeg ikke klar over, men
>problemet er ikke beskrevet paa Debian's security alert side:

Nu har jeg så fået læst lidt dokumentation til Debians ssh-pakke.
Der står allernederst i /usr/doc/ssh/README.Debian.gz:

>Kerberos Authentication:
>------------------------
>ssh is compiled without support for kerberos authentication, and there are
>no current plans to support this. Thus the KerberosAuthentication and
>KerberosTgtPassing options will not be recognised.

Jeg har en tåget forestilling om, at det nok betyder, at Debians
pakke ikke var sårbar.

I mellemtiden er det jo reelt blevet lige meget, eftersom
Debian-folkene af andre årsager er gået i panik og har opdateret
Woodys ssh-pakke 5 gange inden for de seneste dage med diverse
udgaver af OpenSSH 3.3 og 3.4.

--
Allan

N/A (27-06-2002)

Kommentar
Fra : N/A

Dato : 27-06-02 20:17

Alex Holst (27-06-2002)

Kommentar
Fra : Alex Holst

Dato : 27-06-02 20:17

Peter Makholm <peter@makholm.net> wrote:
> Der er reelt ingen andre end Theo der ved hvor sikkerhedshullerne
> ligger. Patchen fra 3.3 til 3.4 rører vist betydelig større dele af
> koden end bare enkeltområder der kan slås fra og til.

Fra 3.4 release notice:

"In addition, OpenSSH 3.4 adds many checks to detect invalid
input and mitigate resource exhaustion attacks."

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Allan Olesen (27-06-2002)

Kommentar
Fra : Allan Olesen

Dato : 27-06-02 20:33

Peter Makholm <peter@makholm.net> wrote:

>Der er folk på sikkerhedsteamet der med sikkerhed har kunnet chrashe
>en debian sshd.

Sikkert, men med den sårbarhed, denne tråd handler om?

(Som ikke har noget at gøre med den sårbarhed, alle taler om i
disse dage).

>> I mellemtiden er det jo reelt blevet lige meget, eftersom
>> Debian-folkene af andre årsager er gået i panik og har opdateret
>
>Næhhh, det er sådan set bare det naturlige efterdynginger efter at
>lave en så stor opdatering uden mulighed for at lave en ordetlig
>QA-gennemgang af pakken.

Hvilket kun kan resultere i panik.

--
Allan

Kent Friis (27-06-2002)

Kommentar
Fra : Kent Friis

Dato : 27-06-02 20:48

Den Thu, 27 Jun 2002 21:05:09 +0200 skrev Peter Makholm:
>Allan Olesen <aolesen@post3.tele.dk> writes:
>
>> Jeg har en tåget forestilling om, at det nok betyder, at Debians
>> pakke ikke var sårbar.
>
>Der er reelt ingen andre end Theo der ved hvor sikkerhedshullerne
>ligger. Patchen fra 3.3 til 3.4 rører vist betydelig større dele af
>koden end bare enkeltområder der kan slås fra og til.

De to pathces jeg har set, var på 2 og 8 linier. Det var kun for
sikkerhedshullerne, og ikke de andre ændringer.

Mvh
Kent
--
Object orientation: the idea, that humans find it easier to understand
"you.car.engine.start" than "start your car engine".

Søg

Reklame

Statistik

Spørgsmål :	177551
Tips :	31968
Nyheder :	719565
Indlæg :	6408825
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste