/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
log/secure:scanned from ... with SSH-1.0..~
Fra : Michael Eriksen


Dato : 07-07-02 17:43

I /var/secure/log har jeg en linie:
"scanned from 62.153.242.19 with SSH-1.0-SSH_Version_Mapper. Don't
panic."

En "host 62.153.242.19" svarer:

"Host 19.242.153.62.in-addr.arpa not found: 3(NXDOMAIN)"

Øhhh? Skal jeg være bekymret? Kører RH 7.3.

Michael

 
 
Alex Holst (07-07-2002)
Kommentar
Fra : Alex Holst


Dato : 07-07-02 17:52

Michael Eriksen <abc@xyz.dk> wrote:
> I /var/secure/log har jeg en linie:
> "scanned from 62.153.242.19 with SSH-1.0-SSH_Version_Mapper. Don't
> panic."
>
> En "host 62.153.242.19" svarer:
>
> "Host 19.242.153.62.in-addr.arpa not found: 3(NXDOMAIN)"
>
> Øhhh? Skal jeg være bekymret? Kører RH 7.3.

Det kommer an paa 2 ting:

1) Forventede du at noget (din firewall eller andet) forhindrede
62.153.242.19 i at connecte til port 22 paa din maskine?

2) Er der kendte sikkerhedsfejl i den OpenSSH version du koerer?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Michael Eriksen (07-07-2002)
Kommentar
Fra : Michael Eriksen


Dato : 07-07-02 18:06

[cut oprd. spg.]
> Det kommer an paa 2 ting:
>
> 1) Forventede du at noget (din firewall eller andet) forhindrede
> 62.153.242.19 i at connecte til port 22 paa din maskine?
>
> 2) Er der kendte sikkerhedsfejl i den OpenSSH version du koerer?

ad 1) Nej. Intet vil forhindre at man prøver at tilslutte, for der kan
være en legal bruger fra ip-nummeret. Maskinen står på et universitet
hvor legale brugere flyver og farer verden rundt.

ad 2) Hmmm-jaehhh det er der vist Må hellere straks få opgraderet!

Tak for svaret.

Michael

Michael Eriksen (07-07-2002)
Kommentar
Fra : Michael Eriksen


Dato : 07-07-02 18:19

[cut]
> ad 2) Hmmm-jaehhh det er der vist Må hellere straks få
> opgraderet!

Efter at have chekket: OpenSSH er openssh-3.1p1-6.rpm og den senste i
RH update (hos sslug.dk) er det godt nok?

mvh

Michael

Peter Mogensen (07-07-2002)
Kommentar
Fra : Peter Mogensen


Dato : 07-07-02 18:29

Michael Eriksen wrote:

>
> Efter at have chekket: OpenSSH er openssh-3.1p1-6.rpm og den senste i
> RH update (hos sslug.dk) er det godt nok?

Nej, du skal enten køre openssh-3.3p1 med

"UsePrivilegeSeparation yes"

.... er helst version 3.4p

Peter


Michael Eriksen (07-07-2002)
Kommentar
Fra : Michael Eriksen


Dato : 07-07-02 19:02

>> Efter at have chekket: OpenSSH er openssh-3.1p1-6.rpm og den
>> senste i RH update (hos sslug.dk) er det godt nok?
>
> Nej, du skal enten køre openssh-3.3p1 med
>
> "UsePrivilegeSeparation yes"
>
> ... er helst version 3.4p
>
> Peter

Hmm - sunsite havde heller ikke noget at byde på i RH update, ej heller
rmpfind.net. Så gik jeg på OpenSSH.com og deres nærmeste mirror,
sunsite, havde minsanten i
"ftp://sunsite.dk/mirrors/openssh/portable/rpm/RH73/" version 3.4!

Det er skuffende at RH update slet ikke er "update", denne fejl har
været kendt langt over en ugen. Øv!

Nå, jeg må til at opgrade.

Tak for hjælpen.

Michael


Rasmus Bøg Hansen (07-07-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 07-07-02 20:21

Michael Eriksen wrote:

> Hmm - sunsite havde heller ikke noget at byde på i RH update, ej heller
> rmpfind.net. Så gik jeg på OpenSSH.com og deres nærmeste mirror,
> sunsite, havde minsanten i
> "ftp://sunsite.dk/mirrors/openssh/portable/rpm/RH73/" version 3.4!
>
> Det er skuffende at RH update slet ikke er "update", denne fejl har
> været kendt langt over en ugen. Øv!

Tja, 3.1p1-6 er faktisk en sikkerhedsopdatering med rettelserne patchet ind
i 3.1p1. Så de har faktisk reageret på fejlen.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
People are lonely because they build walls instead of bridges.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Bo Simonsen (08-07-2002)
Kommentar
Fra : Bo Simonsen


Dato : 08-07-02 20:47

In article <aga4a2$elm$1@carlsberg.amagerkollegiet.dk>, Rasmus Bøg Hansen wrote:

> Tja, 3.1p1-6 er faktisk en sikkerhedsopdatering med rettelserne patchet ind
> i 3.1p1. Så de har faktisk reageret på fejlen.

Redhat (og Debian) ændre aldrig versionsnumrene når der er
security exploits der bliver rettet. Det er de skam også i deres fulde
ret til, da de patcher istedet for at compile en hel ny version,
så er det blot patchlevelen der bliver ændret på.

--
Med venlig hilsen
Bo Simonsen

Join the GNU generation!

Michael Eriksen (08-07-2002)
Kommentar
Fra : Michael Eriksen


Dato : 08-07-02 21:21

> Redhat (og Debian) ændre aldrig versionsnumrene når der er
> security exploits der bliver rettet. Det er de skam også i deres
> fulde ret til, da de patcher istedet for at compile en hel ny
> version, så er det blot patchlevelen der bliver ændret på.

Jovist, men det gør det ikke nemmere (prøve) at være en ansvarlig
linuxoperatør: alle råd (her, sslug, theinquirer...) gik på STRAKS at
opgradere til ver 3.4. Så bliver man let noget panikket når man ser at
man bruger 3.1.

Jeg kan sagtens se fornuften i at holde fast i en given version bare
den er sikkerhedspatchet ordenligt, men som administrator får man altså
fast arbejde med at chekke diverse patch-niveauer for alle mulige
pakker.

Jeg kører med "autoupdate" (fix konkurrent til up2date), netop fordi
jeg har svært ved at få tid til at følge med i alle hullerne. Og det
virker altså, det var bare mig der gik i panik

Michael

Alex Holst (09-07-2002)
Kommentar
Fra : Alex Holst


Dato : 09-07-02 03:57

Michael Eriksen <abc@xyz.dk> wrote:
>> Redhat (og Debian) ændre aldrig versionsnumrene når der er
>> security exploits der bliver rettet. Det er de skam også i deres
>> fulde ret til, da de patcher istedet for at compile en hel ny
>> version, så er det blot patchlevelen der bliver ændret på.
>
> Jovist, men det gør det ikke nemmere (prøve) at være en ansvarlig
> linuxoperatør: alle råd (her, sslug, theinquirer...) gik på STRAKS at
> opgradere til ver 3.4. Så bliver man let noget panikket når man ser at
> man bruger 3.1.

Det andet aspekt er, at i ugen mellem advarselen fra OpenSSH til release
af 3.4 blev der lavet mange andre sikkerhedsaendringer i OpenSSH
sourcen, og jeg tvivler paa at disse vendors virkeligt har backportet
andet end fixene for de fejl som ISS fandt. Men det staar vel i
changelog.

Det er ikke for sjov, at vi gaar rundt og skyder folk, erhm, jeg mener,
at den paagaeldende OpenSSH advisory staerkt anbefaler at opgradere til
3.4.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Peter Mogensen (07-07-2002)
Kommentar
Fra : Peter Mogensen


Dato : 07-07-02 18:21

Michael Eriksen wrote:
> I /var/secure/log har jeg en linie:
> "scanned from 62.153.242.19 with SSH-1.0-SSH_Version_Mapper. Don't
> panic."
> En "host 62.153.242.19" svarer:
>
> "Host 19.242.153.62.in-addr.arpa not found: 3(NXDOMAIN)"
>
> Øhhh? Skal jeg være bekymret? Kører RH 7.3.

Jeg ville nok sørge for at min SSH var opdateret, men hvis du ikke har
andre lignende beskeder tor jeg ikke du er kompromiteret.
På sådanne maskiner er det nok en god idé at køre f.eks. Tripwire
http://www.tripwire.org

Mange IP-adresser har ikke noget reverse lookup nu om dage. Du får bedre
information med traceroute.

Peter



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste