---

Hejsa

Har i læst,

http://online.securityfocus.com/archive/1/278755/2002-06-23/2002-06-29/0

og

http://www.debian.org/security/2002/dsa-134 ?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D19746B.6080109@example.net


> Har i læst,

Så det første om det i går , er det ikke meget utypisk i *nix verdenen at
man ikke siger hvad fejlen er, eller ser man openssh som en så grundlæggende
ting at det vil være en katastrofe hvis det blev public hvad fejlen var ?
(ala bind fejlen som blev holdt tilbage)

Det virker bare mærkeligt de ikke har hold helt mund istedet for at give
folk noget at lede efter

---

In article <3d1982d5$0$10685$4d4eb98e@news.dk.uu.net>, Flemming Riis wrote:
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
> news:3D19746B.6080109@example.net
>
>
>> Har i læst,
>
> Så det første om det i går , er det ikke meget utypisk i *nix verdenen at
> man ikke siger hvad fejlen er, eller ser man openssh som en så grundlæggende
> ting at det vil være en katastrofe hvis det blev public hvad fejlen var ?
> (ala bind fejlen som blev holdt tilbage)
>
> Det virker bare mærkeligt de ikke har hold helt mund istedet for at give
> folk noget at lede efter
>

Det er ikke underligt, Theo har med denne besked givet folk mulighed
for at lukke deres sshd inden buggen kommer ud .. Det må da betegnes
som betænktsomt.. strange comming from Theo :)

/ole_guldberg

--
see my pgp public key at http://home20.inet.tele.dk/ole_guldberg
or at: http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xEC74D4C5

---

Flemming Riis wrote:
>>Har i læst,
> Så det første om det i går , er det ikke meget utypisk i *nix verdenen at
> man ikke siger hvad fejlen er, eller ser man openssh som en så grundlæggende
> ting at det vil være en katastrofe hvis det blev public hvad fejlen var ?
> (ala bind fejlen som blev holdt tilbage)

Rigtig mange producenter bruger SSH, incl. Cisco (om Cisco bruger
openssh ved jeg ikke).

At producenterne tilsyneladende ignorere problemer, er da trist.

> Det virker bare mærkeligt de ikke har hold helt mund istedet for at give
> folk noget at lede efter

Hvad har de givet folk at lede efter?

De har blot gjort sårbarheden sværer at udnytte i 3.3'eren, som de nu
råder folk til at opgradere til, inden patchen kommer.



Forresten hvorfor er der så mange der ikke bryder sig om Theo de Raadt?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>De har blot gjort sårbarheden sværer at udnytte i 3.3'eren, som de nu
>råder folk til at opgradere til, inden patchen kommer.

Det er dét, der bekymrer mig. OpenSSH har ikke den bedste track
record, og at løse et problem ved at sætte privilege separation,
der basalt set må kaldes betakode, i drift... det er ikke den
lækreste vej frem. Især ikke når de allerede nu ved, at deres
nye version vil betyde problemer i en række scenarier.

Faktisk er jeg begyndt at overveje, om det ikke er værd at give
SSH Communications nogle penge, så man kan få et produkt med en
mere professionel organisation bag.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
> Det er dét, der bekymrer mig. OpenSSH har ikke den bedste track
> record, og at løse et problem ved at sætte privilege separation,
> der basalt set må kaldes betakode, i drift... det er ikke den

Betakode?

Den 15/3-2002 havde de en endelig version.

I OpenBSD's kildetræ er den ikke portet til andre systemer af gode
grunde. Dette er vel afhængigt af de andre producenter, der bruger fx PAM.

Se mere på http://www.citi.umich.edu/u/provos/ssh/privsep.html

> lækreste vej frem. Især ikke når de allerede nu ved, at deres
> nye version vil betyde problemer i en række scenarier.

Som ikke er et problem på OpenBSD, dette antager jeg da jeg ikke kan
finde nogle fejl i OpenBSD's support system,

http://cvs.openbsd.org/cgi-bin/wwwgnats.pl/quick?quickfmt=regular&Text=ssh

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>> record, og at løse et problem ved at sætte privilege separation,
>> der basalt set må kaldes betakode, i drift... det er ikke den

>Betakode?

>Den 15/3-2002 havde de en endelig version.

Hvis den var endelig, ville det jo betyde, at samtlige features
virker på samtlige platforme.

Man kan så sige, at OpenSSH ikke direkte er udviklet til samtlige
platforme. Men det bekræfter jo så bare, at man nok bør overveje
at køre med et professionelt udviklet produkt på andre platforme.

Jeg synes, de sidste meldinger fra OpenSSH-folket har været præget
af en yderst amatøragtig holdning til sikkerhed og total mangel på
forståelse for produktionsklar kode.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>>Betakode?
>>Den 15/3-2002 havde de en endelig version.
> Hvis den var endelig, ville det jo betyde, at samtlige features
> virker på samtlige platforme.

Hvis dette er et kriterie for en "endelig version", ville næsten alt i
verden være i beta.

> Man kan så sige, at OpenSSH ikke direkte er udviklet til samtlige
> platforme. Men det bekræfter jo så bare, at man nok bør overveje
> at køre med et professionelt udviklet produkt på andre platforme.

Jeg vil nu mene det er en forfejlet holdning at have.

Hvis du var udvikler af et operativ system og en applikation, ville du
så ligge din tid i udviklingen af applikationen i andre operativ
systemer, som bruger features du mener er uinteressante?

> Jeg synes, de sidste meldinger fra OpenSSH-folket har været præget
> af en yderst amatøragtig holdning til sikkerhed og total mangel på
> forståelse for produktionsklar kode.

Har du nogle links? Kan du uddybe dette?

---

On Thu, 27 Jun 2002 02:28:52 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>Hvis du var udvikler af et operativ system og en applikation, ville du
>så ligge din tid i udviklingen af applikationen i andre operativ
>systemer, som bruger features du mener er uinteressante?

Med fare for at klippe citater til formålet, så tror jeg, "problemet"
kan opsummeres i:

>Hvis du var udvikler af et operativ system og en applikation...

De to punkter bør måske holdes adskilt. Der kan selvfølgelig godt være
navnesammenfald blandt udviklere på projekterne, men det er relevant
at vide hvilken kasket, man har på. Det giver de dog også udtryk for:

==
Managing the distribution of OpenSSH is split into two teams. One team
does strictly OpenBSD-based development, aiming to produce code that
is as clean, simple, and secure as possible. The other team takes the
clean version and makes it portable, so that it will run on many
operating systems (these are known as the p releases, and named like
"OpenSSH 3.3p1").
==

Spørgsmålet er så blot om det også er tilfældet i praksis.

--
- Peter Brodersen

---

Peter Brodersen wrote:
> ==
> Managing the distribution of OpenSSH is split into two teams. One team
> does strictly OpenBSD-based development, aiming to produce code that
> is as clean, simple, and secure as possible. The other team takes the
> clean version and makes it portable, so that it will run on many
> operating systems (these are known as the p releases, and named like
> "OpenSSH 3.3p1").
> ==
>
> Spørgsmålet er så blot om det også er tilfældet i praksis.

Spørgsmålet er vel stadigvæk om du ville bruge tid på features du mener
er uinteressante, fx PAM. Som Alex også fortælle kunne de andre teamet
ikke komme op med kode der ikke var fejl i.

Kik evt. på
http://groups.google.com/groups?hl=daselm=afapf1%24f7l%241%40FreeBSD.csie.NCTU.edu.tw

http://groups.google.com/groups?q=g:thl1329203923d&hl=da&selm=9ff3rr%24mpo%241%40FreeBSD.csie.NCTU.edu.tw

---

Christian E. Lysel wrote:
> http://groups.google.com/groups?hl=daselm=afapf1%24f7l%241%40FreeBSD.csie.NCTU.edu.tw

Den er måske lidt tom, prøv evt.,

http://groups.google.com/groups?selm=afapf1%24f7l%241%40FreeBSD.csie.NCTU.edu.tw&output=gplain

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>Hvis du var udvikler af et operativ system og en applikation, ville du
>så ligge din tid i udviklingen af applikationen i andre operativ
>systemer, som bruger features du mener er uinteressante?

Jeg ville nok være virkelighedsnær nok til at kende mine
begrænsninger. Altså erkende at hvis jeg både vil lave et helt
operativsystem OG sikkerhedsrelaterede applikationer, så vil
jeg ikke have tid til også at porte applikationerne.

Ved ikke at erkende det, står OpenSSH-teamet jo netop med en
sur brugergruppe (dem der ikke kører på OpenBSD), der mener,
at teamet er ude af stand til at levere troværdig, opdateret
eller i det mindste bare fungerende kode.

>> Jeg synes, de sidste meldinger fra OpenSSH-folket har været præget
>> af en yderst amatøragtig holdning til sikkerhed og total mangel på
>> forståelse for produktionsklar kode.

>Har du nogle links? Kan du uddybe dette?

Se mit citat i en anden del af tråden. Det opsummerer udmærket
min holdning.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
> Ved ikke at erkende det, står OpenSSH-teamet jo netop med en
> sur brugergruppe (dem der ikke kører på OpenBSD), der mener,
> at teamet er ude af stand til at levere troværdig, opdateret
> eller i det mindste bare fungerende kode.

Man må da håbe at temaet indholder folk fra de andre platformer, ifølge
Alex kunne disse dog ikke producere kode uden fejl.

>>Har du nogle links? Kan du uddybe dette?
> Se mit citat i en anden del af tråden. Det opsummerer udmærket
> min holdning.

Dit citat ser jeg kun som en stor misforståelse.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>Man må da håbe at temaet indholder folk fra de andre platformer, ifølge
>Alex kunne disse dog ikke producere kode uden fejl.

Muligvis, men det er derfor, jeg siger, at et kommercielt (læs:
professionelt) foretagende vil nok kunne levere en langt bedre
service. Derfor min hentydning til SSH Communications.

>>>Har du nogle links? Kan du uddybe dette?
>> Se mit citat i en anden del af tråden. Det opsummerer udmærket
>> min holdning.

>Dit citat ser jeg kun som en stor misforståelse.

Det tillader jeg mig at se som et udslag af, at du ikke har
erfaring med en sådan situation.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
> Muligvis, men det er derfor, jeg siger, at et kommercielt (læs:
> professionelt) foretagende vil nok kunne levere en langt bedre
> service. Derfor min hentydning til SSH Communications.

Et kommericielt foretagende vil altså supportere alt og alle platformer,
blot forde det er kommercielt?

>>Dit citat ser jeg kun som en stor misforståelse.
> Det tillader jeg mig at se som et udslag af, at du ikke har
> erfaring med en sådan situation.

Følgende er dit citat,

....I've never been impressed with their track record, especially since
they also gave no indication what might (or might not) be safe to turn
on. The recent arrogance about OpenSSH hasn't helped. Theo's comments
have basically amounted to "we can't figure out how to fix OpenSSH, so
everyone should run it in a mode that breaks things, and we'll blame it
all on the vendors for not spending their time to fix our code"...

Det første track record... hvis vi fx sammenligner med SSH
Communications, hvor kan man så se deres track record? Jeg synes det er
lækkert at man kan se OpenSSH's track record, det er der ikke mange der
tilbyder. Endvidere kik på http://www.openssh.org/security.html

Omkring hvad der er sikkert eller ej at slå til, er dette afhængigt af
ens egen sikkerhedspolitik, og man kan ikke sige noget generelt.

Argumentet om de ikke kan rette OpenSSH holder ikke, det vil være det
samme som at påstår at OpenSSH 3.4 ikke eksistere!!
Endvidere ser jeg Theo's handling af "Challenge Response" sårbarheden,
som bedre end andre har handlet. Normalt bygger man en patch og
annoncering af sårbarheden. Istedet fortæller han der komme en patch til
en uofficel sårbarheden, men inden der kommer mere information kan man
bruge "priv seperation", og lidt senere vil der komme en patch og
annoncering af sårbarheden.


Kan du forstå hvorfor jeg ser citatet som én stor misforståelse?


PS: Sårbarheden indholdt også huller i PAM delen af OpenSSH, kik i
PAMAuthenticationViaKbdInt, se mere på
http://www.openssh.com/txt/preauth.adv

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>> Muligvis, men det er derfor, jeg siger, at et kommercielt (læs:
>> professionelt) foretagende vil nok kunne levere en langt bedre
>> service. Derfor min hentydning til SSH Communications.

>Et kommericielt foretagende vil altså supportere alt og alle platformer,
>blot forde det er kommercielt?

Nej, men hvis jeg køber en licens til Solaris, forventer jeg, at
jeg kan få support på denne platform.

OpenSSH kan måske nok compiles på Solaris, men det lader ikke til,at
det er supported, og programmørerne bag kan åbenbart ikke overskue,
hvorvidt deres program overhovedet duer.

Jeg ville være mere glad for en udmelding à la "vi har ikke styr
på Solaris, så lad være med i det hele taget at bruge OpenSSH på
denne platform". Udmeldingen, de rent faktisk kom med, er nærmere
"Øhm, noget er vistnok gået i stykker, og måske er der nogt bøvl
med nogle ting, men vi aner det ikke, og vi kan ikke finde ud af
at fikse det, og i øvrigt er det leverandørens skyld altsammen".

Ih, hvor er jeg tryg ved at køre den slags på produktionssystemer.

>Omkring hvad der er sikkert eller ej at slå til, er dette afhængigt af
>ens egen sikkerhedspolitik, og man kan ikke sige noget generelt.

Men når min sikkerhedspolitik så giver mulighed for scp mellem -
lad os sige - OpenSSH og Solaris, hvad er udmeldingen så fra OpenSSH?
Lidt paraphrased, "Øhm, noget er vistnok gået i stykker, og måske er
der nogt bøvl med nogle ting, men vi aner det ikke, og vi kan ikke
finde ud af at fikse det, og i øvrigt er det leverandørens skyld
altsammen".

Ih, hvor er jeg tryg ved at køre den slags på produktionssystemer.

>Argumentet om de ikke kan rette OpenSSH holder ikke, det vil være det
>samme som at påstår at OpenSSH 3.4 ikke eksistere!!

Det vil sige, at alting virker perfekt på Solaris med 3.4? Eller
mener du, at det er "godt nok", at noget vist nok er gået i stykker,
der er bøvl med andre ting, og at resten er leverandørens skyld?

>Kan du forstå hvorfor jeg ser citatet som én stor misforståelse?

Nope.

Mvh.
   Klaus.

---

Den Thu, 27 Jun 2002 16:13:45 +0000 (UTC) skrev Klaus Ellegaard:
>"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:
>
>>> Muligvis, men det er derfor, jeg siger, at et kommercielt (læs:
>>> professionelt) foretagende vil nok kunne levere en langt bedre
>>> service. Derfor min hentydning til SSH Communications.
>
>>Et kommericielt foretagende vil altså supportere alt og alle platformer,
>>blot forde det er kommercielt?
>
>Nej, men hvis jeg køber en licens til Solaris, forventer jeg, at
>jeg kan få support på denne platform.
>
>OpenSSH kan måske nok compiles på Solaris, men det lader ikke til,at
>det er supported, og programmørerne bag kan åbenbart ikke overskue,
>hvorvidt deres program overhovedet duer.
>
>Jeg ville være mere glad for en udmelding à la "vi har ikke styr
>på Solaris, så lad være med i det hele taget at bruge OpenSSH på
>denne platform". Udmeldingen, de rent faktisk kom med, er nærmere
>"Øhm, noget er vistnok gået i stykker, og måske er der nogt bøvl
>med nogle ting, men vi aner det ikke, og vi kan ikke finde ud af
>at fikse det, og i øvrigt er det leverandørens skyld altsammen".

Som jeg har forstået det, udvikler Theo m.fl. kun SSH til OpenBSD, og
de lader andre om porteringen til andre systemer. Så naturligvis har
de ikke styr på Solaris, det er jo andre der har den opgave. Men de
kan stadig konstatere at der er masser af problemer på Solaris.

Mvh
Kent
--
Mails skrevet før 12:00 skal læses med det forbehold, at hjernen først
forventes at være færdig med at boote på det tidspunkt, og indholdet
derfor kan indeholde random data der tilfældigvis lå i den
uinitializerede cache.

---

Kent Friis wrote:
>>Jeg ville være mere glad for en udmelding à la "vi har ikke styr
>>på Solaris, så lad være med i det hele taget at bruge OpenSSH på
>>denne platform". Udmeldingen, de rent faktisk kom med, er nærmere
>>"Øhm, noget er vistnok gået i stykker, og måske er der nogt bøvl
>>med nogle ting, men vi aner det ikke, og vi kan ikke finde ud af
>>at fikse det, og i øvrigt er det leverandørens skyld altsammen".
> Som jeg har forstået det, udvikler Theo m.fl. kun SSH til OpenBSD, og

Theo er generelt træt af folk der gerne vil have features i OpenSSH.

> de lader andre om porteringen til andre systemer. Så naturligvis har
> de ikke styr på Solaris, det er jo andre der har den opgave. Men de
> kan stadig konstatere at der er masser af problemer på Solaris.

Dem der så har den opgave, har de måske heller ikke står på Solaris?

---

Den Thu, 27 Jun 2002 19:48:18 +0200 skrev Christian E. Lysel:
>Kent Friis wrote:
>>>Jeg ville være mere glad for en udmelding à la "vi har ikke styr
>>>på Solaris, så lad være med i det hele taget at bruge OpenSSH på
>>>denne platform". Udmeldingen, de rent faktisk kom med, er nærmere
>>>"Øhm, noget er vistnok gået i stykker, og måske er der nogt bøvl
>>>med nogle ting, men vi aner det ikke, og vi kan ikke finde ud af
>>>at fikse det, og i øvrigt er det leverandørens skyld altsammen".
>> Som jeg har forstået det, udvikler Theo m.fl. kun SSH til OpenBSD, og
>
>Theo er generelt træt af folk der gerne vil have features i OpenSSH.
>
>> de lader andre om porteringen til andre systemer. Så naturligvis har
>> de ikke styr på Solaris, det er jo andre der har den opgave. Men de
>> kan stadig konstatere at der er masser af problemer på Solaris.
>
>Dem der så har den opgave, har de måske heller ikke står på Solaris?

Måske, men det var jo ikke dem der sendte bug-reporten.

Mvh
Kent
--
NT er brugervenligt - det er bare brugerne der ikke kan finde ud af det
- en NT-administrator

---

Klaus Ellegaard wrote:
>
> OpenSSH kan måske nok compiles på Solaris, men det lader ikke til,at
> det er supported, og programmørerne bag kan åbenbart ikke overskue,
> hvorvidt deres program overhovedet duer.

OpenSSH kan godt compileres til Solaris, og det fungerer indtil
vidre fint for mig bortset fra manglende komprimering.

>
> Jeg ville være mere glad for en udmelding à la "vi har ikke styr
> på Solaris, så lad være med i det hele taget at bruge OpenSSH på
> denne platform". Udmeldingen, de rent faktisk kom med, er nærmere
> "Øhm, noget er vistnok gået i stykker, og måske er der nogt bøvl
> med nogle ting, men vi aner det ikke, og vi kan ikke finde ud af
> at fikse det, og i øvrigt er det leverandørens skyld altsammen".
>
> Ih, hvor er jeg tryg ved at køre den slags på produktionssystemer.
>
> >Omkring hvad der er sikkert eller ej at slå til, er dette afhængigt af
> >ens egen sikkerhedspolitik, og man kan ikke sige noget generelt.
>
> Men når min sikkerhedspolitik så giver mulighed for scp mellem -
> lad os sige - OpenSSH og Solaris, hvad er udmeldingen så fra OpenSSH?
> Lidt paraphrased, "Øhm, noget er vistnok gået i stykker, og måske er
> der nogt bøvl med nogle ting, men vi aner det ikke, og vi kan ikke
> finde ud af at fikse det, og i øvrigt er det leverandørens skyld
> altsammen".
>
> Ih, hvor er jeg tryg ved at køre den slags på produktionssystemer.

Du gentager dig selv.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

In <3D1B72A7.8802EA47@daimi.au.dk> Kasper Dupont <kasperd@daimi.au.dk> writes:

>Klaus Ellegaard wrote:
>>
>> OpenSSH kan måske nok compiles på Solaris, men det lader ikke til,at
>> det er supported, og programmørerne bag kan åbenbart ikke overskue,
>> hvorvidt deres program overhovedet duer.

>OpenSSH kan godt compileres til Solaris, og det fungerer indtil
>vidre fint for mig bortset fra manglende komprimering.

Den kan ogsaa downloades som en pre-compileret pakke til mange
forskellige version af Solaris paa
http://www.sunfreeware.com/

Mvh
Martin
--
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

In article <3D1B72A7.8802EA47@daimi.au.dk>, Kasper Dupont wrote:
> Klaus Ellegaard wrote:
>>
>> OpenSSH kan måske nok compiles på Solaris, men det lader ikke til,at
>> det er supported, og programmørerne bag kan åbenbart ikke overskue,
>> hvorvidt deres program overhovedet duer.
>
> OpenSSH kan godt compileres til Solaris, og det fungerer indtil
> vidre fint for mig bortset fra manglende komprimering.

Jeg har ingen problemer med kompression fra OpenBSDs klient op mod
"SSH-1.99-OpenSSH_3.1p1". Iflg. "$ ssh -v -C" slåes kompression til på
niveau 6. Hvordan har du konstateret manglende kompression? Tror du
ikke, at det blot skyldes, at du ikke har sat det op?

Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:
> >>
> >> OpenSSH kan måske nok compiles på Solaris, men det lader ikke til,at
> >> det er supported, og programmørerne bag kan åbenbart ikke overskue,
> >> hvorvidt deres program overhovedet duer.
> >
> > OpenSSH kan godt compileres til Solaris, og det fungerer indtil
> > vidre fint for mig bortset fra manglende komprimering.
>
> Jeg har ingen problemer med kompression fra OpenBSDs klient op mod
> "SSH-1.99-OpenSSH_3.1p1". Iflg. "$ ssh -v -C" slåes kompression til på

Det var vel ogsaa foerst med 3.4p1, at der skulle vaere problemer,
eller?

> niveau 6. Hvordan har du konstateret manglende kompression? Tror du
> ikke, at det blot skyldes, at du ikke har sat det op?

Men jeg synes faktisk ikke at jeg ser noget underligt.

Fra 3.4p1 paa Solaris 8 mod ditto:

debug1: Enabling compression at level 6.

og

debug1: Transferred: stdin 0, stdout 0, stderr 31 bytes in 63.0 seconds
debug1: Bytes per second: stdin 0.0, stdout 0.0, stderr 0.5
debug1: Exit status 0
debug1: compress outgoing: raw data 2005, compressed 1065, factor 0.53
debug1: compress incoming: raw data 4919, compressed 2563, factor 0.52

VH

--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

---

Den Sun, 14 Jul 2002 14:23:36 +0000 (UTC) skrev Ole Michaelsen:
>Michael Knudsen wrote:
>> >>
>> >> OpenSSH kan måske nok compiles på Solaris, men det lader ikke til,at
>> >> det er supported, og programmørerne bag kan åbenbart ikke overskue,
>> >> hvorvidt deres program overhovedet duer.
>> >
>> > OpenSSH kan godt compileres til Solaris, og det fungerer indtil
>> > vidre fint for mig bortset fra manglende komprimering.
>>
>> Jeg har ingen problemer med kompression fra OpenBSDs klient op mod
>> "SSH-1.99-OpenSSH_3.1p1". Iflg. "$ ssh -v -C" slåes kompression til på
>
>Det var vel ogsaa foerst med 3.4p1, at der skulle vaere problemer,
>eller?

Nej, det var når "PrivilegeSeparation" er slået til.

Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"

---

Kent Friis wrote:
>
> Den Sun, 14 Jul 2002 14:23:36 +0000 (UTC) skrev Ole Michaelsen:
> >
> >Det var vel ogsaa foerst med 3.4p1, at der skulle vaere problemer,
> >eller?
>
> Nej, det var når "PrivilegeSeparation" er slået til.

Nemlig, og hvis jeg husker rigtigt blev den slået til som
default startende med version 3.3. Man kan godt slå
PrivelegeSeparation fra, men så kan man blive mere udsat
ved fremtidige exploits.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Klaus Ellegaard wrote:
> OpenSSH kan måske nok compiles på Solaris, men det lader ikke til,at
> det er supported, og programmørerne bag kan åbenbart ikke overskue,
> hvorvidt deres program overhovedet duer.

Vil det sige OpenSSH ikke virker under Solaris, eller er det kun dele af
OpenSSH der ikke virker, fx PAM og hvilken Solaris og oversætter snakker
vi om?

> Jeg ville være mere glad for en udmelding à la "vi har ikke styr
> på Solaris, så lad være med i det hele taget at bruge OpenSSH på
> denne platform". Udmeldingen, de rent faktisk kom med, er nærmere
> "Øhm, noget er vistnok gået i stykker, og måske er der nogt bøvl
> med nogle ting, men vi aner det ikke, og vi kan ikke finde ud af
> at fikse det, og i øvrigt er det leverandørens skyld altsammen".
>
> Ih, hvor er jeg tryg ved at køre den slags på produktionssystemer.

Lad os få en ting på det rene. Til OpenSSH er der to kilde træer, et til
main der bruges i OpenBSD og et andet til alle andre systemer også
kaldet ports.

Main træet vedligeholdes af Aaron Campbell, Bob Beck, Markus Friedl,
Niels Provos, Theo de Raadt og Dug Song, hvorimod ports træet
vedligholdes af andre.

Prøv evt. at læse http://www.openssh.com/history.html

Dit setop benytter sig af ports træet. Men din kritik går på OpenSSH
generelt og ikke blot ports træet.

Hvis du læser README.privsep, står der "PAM-enabled OpenSSH is known to
function with privsep on Linux.", hvilket i mine øjene betyder at du på
andre platformer ikke skal slå privsep til.

>>Omkring hvad der er sikkert eller ej at slå til, er dette afhængigt af
>>ens egen sikkerhedspolitik, og man kan ikke sige noget generelt.
> Men når min sikkerhedspolitik så giver mulighed for scp mellem -
> lad os sige - OpenSSH og Solaris, hvad er udmeldingen så fra OpenSSH?
> Lidt paraphrased, "Øhm, noget er vistnok gået i stykker, og måske er
> der nogt bøvl med nogle ting, men vi aner det ikke, og vi kan ikke
> finde ud af at fikse det, og i øvrigt er det leverandørens skyld
> altsammen".
>
> Ih, hvor er jeg tryg ved at køre den slags på produktionssystemer.

Jeg og dit citat snakkede om hvilke features der er sikre eller ej, du
snakker om kompabilitet mellem applikationer.

Hvilken fejl er det du henviser til og har du evt. et link til denne?

>>Argumentet om de ikke kan rette OpenSSH holder ikke, det vil være det
>>samme som at påstår at OpenSSH 3.4 ikke eksistere!!
> Det vil sige, at alting virker perfekt på Solaris med 3.4? Eller
> mener du, at det er "godt nok", at noget vist nok er gået i stykker,
> der er bøvl med andre ting, og at resten er leverandørens skyld?

Læs ovenstående.

>>Kan du forstå hvorfor jeg ser citatet som én stor misforståelse?
> Nope.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>Dit setop benytter sig af ports træet. Men din kritik går på OpenSSH
>generelt og ikke blot ports træet.

Vi snakker så meget forbi hinanden, at det ikke er værd at fortsætte.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>>Dit setop benytter sig af ports træet. Men din kritik går på OpenSSH
>>generelt og ikke blot ports træet.
> Vi snakker så meget forbi hinanden, at det ikke er værd at fortsætte.

Måske du skulle uddybe hvilke fejl du snakker om?

Jeg sidder og gætter hele tiden, og når jeg beder om at få noget uddybet
sker det ikke.

---

Klaus Ellegaard <klaus@ellegaard.dk> wrote:
> Det er dét, der bekymrer mig. OpenSSH har ikke den bedste track
> record, og at løse et problem ved at sætte privilege separation,
> der basalt set må kaldes betakode, i drift...

Der er flere aspekter at huske i dette tilfaelde. Det er beta kode fordi
ingen af de andre vendors (bortset fra Solar Designer) har brugt tid paa
at faa det til at virke paa deres egne systemer, selvom OpenSSH folkene
har raabt om fordelene. Paa OpenBSD og Owl virker privsep jo fint.

At slaa privsep til i 3.3 er ikke en loesning paa problemet; det
forhindrer blot at en angriber faar root med det samme.

Derudover har du ret i, at www.openssh.com/security.html er et meget
kedeligt syn.

Jeg har ikke kigget paa koden til ssh.com's sshd saa jeg ved ikke om den
er bedre; naar det kommer til stykket siger mangel paa fejl ikke et klap
om kvaliteten af koden -- det kunne lige saa vel betyde at ingen har
kigget rigtigt paa det.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

>Der er flere aspekter at huske i dette tilfaelde. Det er beta kode fordi
>ingen af de andre vendors (bortset fra Solar Designer) har brugt tid paa
>at faa det til at virke paa deres egne systemer, selvom OpenSSH folkene
>har raabt om fordelene. Paa OpenBSD og Owl virker privsep jo fint.

Jeg synes, Michael T. Pins beskriver situationen ret rammende i
<QSnS8.2078$eH2.1626208@ruti.visi.com>:

| I've never been impressed with their track record, especially since they
| also gave no indication what might (or might not) be safe to turn on. The
| recent arrogance about OpenSSH hasn't helped. Theo's comments have
| basically amounted to "we can't figure out how to fix OpenSSH, so everyone
| should run it in a mode that breaks things, and we'll blame it all on the
| vendors for not spending their time to fix our code".

>Jeg har ikke kigget paa koden til ssh.com's sshd saa jeg ved ikke om den
>er bedre; naar det kommer til stykket siger mangel paa fejl ikke et klap
>om kvaliteten af koden -- det kunne lige saa vel betyde at ingen har
>kigget rigtigt paa det.

Selvfølgelig. Det kan have karakter af lidt "security by obscurity",
fordi det er et fåtal, der ønsker at betale for en kommerciel licens.
Jeg har ikke studeret hverken kode, licens eller priser endnu, men
jeg går ud fra, at betalingen giver én ret til at forvente support,
bugfixes og fungerende kode på forskellige platforme. Det er jo hele
tre ting, OpenSSH-teamet ikke just excellerer i lige nu.

I øvrigt synes jeg, det hele er en meget stor storm i et glas vand,
hvis jeg har forstået ISS' Bugtraq-advisory korrekt. Jeg må nok lige
sove først, inden jeg læser det igen.

Gad vide om der ikke snart kommer et uafhængigt branch af OpenSSH,
som kommer til at fokusere på helt andre værdier end de nuværende?

Mvh.
   Klaus.

---

Klaus Ellegaard <klaus@ellegaard.dk> wrote:
> Jeg synes, Michael T. Pins beskriver situationen ret rammende i
><QSnS8.2078$eH2.1626208@ruti.visi.com>:
>
>| I've never been impressed with their track record, especially since they
>| also gave no indication what might (or might not) be safe to turn on. The
>| recent arrogance about OpenSSH hasn't helped. Theo's comments have
>| basically amounted to "we can't figure out how to fix OpenSSH, so everyone
>| should run it in a mode that breaks things, and we'll blame it all on the
>| vendors for not spending their time to fix our code".

Jeg er ikke 100% enig i ovenstaaende. Som det ses er OpenSSH patchen
ganske enkel, men indtil alle vendors havde svaret og var klar til at
udsende opgraderinger ville Theo et al ikke udpege fejlen for alverdens
exploits udviklere. Det er vel en type ansvar OpenSSH udviklerne foeler
da det er deres kode. Hvis de blot havde rettet OpenSSH native og
portable uden at snakke med andre vendors var de blevet slaget for *det*
istedet for. Pick your poison.

Imens vi ventede paa denne vendor co-ordination blev brugerne forslaaet
at slaa privsep til, da den kunne stoppe angrebet. Hvis OpenSSH havde
udsendt en besked der sagde "Slaa ChallengeResponse fra" ville der kun
vaere 500 liniers kode folk ville kigge paa, og voldtaegten ville
hurtigt begynde.

Desvaerre blev ISS opmaerksomme paa at andre havde fundet fejlen og var
begyndt at udvikle et exploit program, hvilket er grunden til at 3.4
blev released en uge foer tid.

> Jeg har ikke studeret hverken kode, licens eller priser endnu, men
> jeg går ud fra, at betalingen giver én ret til at forvente support,
> bugfixes og fungerende kode på forskellige platforme. Det er jo hele
> tre ting, OpenSSH-teamet ikke just excellerer i lige nu.

Jeg kan til dels forstaa deres holdning; der er masser af mennesker som
snakker og kun ganske faa med tiden og evnen til at hjaelpe. Det bliver
traettende i laengen. Paa openssh-dev sad Niels Provos og reviewede PAM
og privsep patches fra forskellige folk, og mange af dem var fyldte med
simple sikkerhedsfejl. Jeg synes ikke der er noget galt i at sige til
$VENDOR at pga. tidsmangel er deres hjaelp paakraevet for at faa privsep
og andet til at virke som det skal.

Fra et quality assurance synspunkt er der *mange* ting som OpenSSH kunne
goere bedre, og det er efter min mening deres stoerste svaghed: Deres
ide af kvalitet er noget de personligt foeler fordi de kender koden,
ikke noget som de har dokumenteret gennem forskellige former for tests.
OpenSSH regression tests har f.eks. lang vej igen, men 7-8 mennesker der
udvikler paa alt muligt andet samtidigt har stadigt kun 24 timer i
doegnet.

> Gad vide om der ikke snart kommer et uafhængigt branch af OpenSSH,
> som kommer til at fokusere på helt andre værdier end de nuværende?

Nogle af os venter i hemmelighed paa at DJB bliver tilstraekkeligt traet
af openssh til at han udvikler sin egen SSH implementation :)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

In article <slrnahk84f.2f33.a@Alpha.Area51.DK>, Alex Holst wrote:
>> Gad vide om der ikke snart kommer et uafhængigt branch af OpenSSH,
>> som kommer til at fokusere på helt andre værdier end de nuværende?
>
> Nogle af os venter i hemmelighed paa at DJB bliver tilstraekkeligt traet
> af openssh til at han udvikler sin egen SSH implementation :)

Det kunne blive spændende at se, hvordan licensen til denne ville
blive.

Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Alex Holst wrote:
>
> Klaus Ellegaard <klaus@ellegaard.dk> wrote:
>
> > Gad vide om der ikke snart kommer et uafhængigt branch af OpenSSH,
> > som kommer til at fokusere på helt andre værdier end de nuværende?
>
> Nogle af os venter i hemmelighed paa at DJB bliver tilstraekkeligt traet
> af openssh til at han udvikler sin egen SSH implementation :)

Der findes også freessh. Er der nogen her, der har erfaringer
med den eller en holdning til den?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

> Flemming Riis wrote:
> >>Har i læst,
> > Så det første om det i går , er det ikke meget utypisk i *nix verdenen at
> > man ikke siger hvad fejlen er, eller ser man openssh som en så grundlæggende
> > ting at det vil være en katastrofe hvis det blev public hvad fejlen var ?
> > (ala bind fejlen som blev holdt tilbage)

[snip]

> De har blot gjort sårbarheden sværer at udnytte i 3.3'eren, som de nu
> råder folk til at opgradere til, inden patchen kommer.

Du glemmer at nævne, at 3.3'eren har en del issues med fx. PAM, specielt
når PrivilegeSeperation er slået til, hvilket gør den mere eller mindre
uegnet til et produktionsmiljø.

--
Med venlig hilsen
Christian Laursen

---

Christian Laursen wrote:
> Du glemmer at nævne, at 3.3'eren har en del issues med fx. PAM, specielt
> når PrivilegeSeperation er slået til, hvilket gør den mere eller mindre
> uegnet til et produktionsmiljø.

Hvilket står i de links jeg først gav.

---

"Christian E. Lysel" wrote:
>
> Christian Laursen wrote:
> > Du glemmer at nævne, at 3.3'eren har en del issues med fx. PAM, specielt
> > når PrivilegeSeperation er slået til, hvilket gør den mere eller mindre
> > uegnet til et produktionsmiljø.
>
> Hvilket står i de links jeg først gav.

Man kan også læse lidt om problemet på:
http://www.linuxsecurity.com/articles/cryptography_article-5185.html
http://openssh.org/

Udover PAM problemer er der også problemer med komprimering
på nogle arkitekturer.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:
> Man kan også læse lidt om problemet på:
> http://www.linuxsecurity.com/articles/cryptography_article-5185.html

En kopi af mailen.

> http://openssh.org/
>
> Udover PAM problemer er der også problemer med komprimering
> på nogle arkitekturer.

Prøv evt. at kikke på dk.edb.unix, der kører en ligende tråd.