/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
OpenSSH med trojansk hest
Fra : Magnus Pedersen


Dato : 06-08-02 10:09

Jeg kiggede lidt tilbage i gruppen men synes ikke jeg kunne finde
henvisninger til dette:
http://www.openssh.com/txt/trojan.adv

Hvis nogen har hentet OpenSSH for nylig kan det være de lige skulle
kontrolere det.

--
Magnus Pedersen



 
 
Michael Eriksen (06-08-2002)
Kommentar
Fra : Michael Eriksen


Dato : 06-08-02 11:38

"Magnus Pedersen" <mgpeder(remove)@hotmail.com> wrote in
news:3d4f9228$0$87303$edfadb0f@dspool01.news.tele.dk:

> Jeg kiggede lidt tilbage i gruppen men synes ikke jeg kunne finde
> henvisninger til dette:
> http://www.openssh.com/txt/trojan.adv
>
> Hvis nogen har hentet OpenSSH for nylig kan det være de lige skulle
> kontrolere det.
>
> --
> Magnus Pedersen
>
>
Derfor (fra dit eget link, http://www.openssh.com/txt/trojan.adv
):

<citat>
2. Impact:

Anyone who has installed OpenSSH from the OpenBSD ftp server or any
mirror within that time frame should consider his system compromised.
</citat>

Relativt få her i gruppen kører med OpenBSD (undskyld OpenBSD-fans, men
linux, Solaris, AIX osv. er mere udbredt).

Michael

Thomas Rasmussen (06-08-2002)
Kommentar
Fra : Thomas Rasmussen


Dato : 06-08-02 12:02

Michael Eriksen <abc@xyz.dk> writes:

> Derfor (fra dit eget link, http://www.openssh.com/txt/trojan.adv
> ):
>
> <citat>
> 2. Impact:
>
> Anyone who has installed OpenSSH from the OpenBSD ftp server or any
> mirror within that time frame should consider his system compromised.
> </citat>
>
> Relativt få her i gruppen kører med OpenBSD (undskyld OpenBSD-fans, men
> linux, Solaris, AIX osv. er mere udbredt).

IIRC så er det et problem hvis du har compileret openssh selv. Jeg
tror faktisk også at der har været nogle problemer med prekompilerede
OpenSSH pakker til linux. Så man bør under alle omstændigheder checke
det hvis man har opgraderet ssh fornyligt.

/Thomas

--
/"\ | Human Knowledge Belongs To The World
\ / | -- Milo Hoffman in "AntiTrust"
x |
/ \ <-- (ASCII Ribbon Campain against html emails and postings!)

Michael Eriksen (06-08-2002)
Kommentar
Fra : Michael Eriksen


Dato : 06-08-02 12:18

Ved du *positivt* at ikke-*BSD versioner af OpenSSH er kompromiterede?
Det har jeg ikke set nogen steder og du giver ingen reference. Ellers
synes jeg du råber "ulven kommer". Bevares, det er da ok at vi alle går
alle vores OpenSSH installationer igennem, men vi har altså andet at
lave - specielt hvis det bare er "for en sikkerheds skyld".

Michael

> IIRC så er det et problem hvis du har compileret openssh selv. Jeg
> tror faktisk også at der har været nogle problemer med
> prekompilerede OpenSSH pakker til linux. Så man bør under alle
> omstændigheder checke det hvis man har opgraderet ssh fornyligt.
>
> /Thomas
>


Christian E. Lysel (06-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 06-08-02 13:48

Michael Eriksen wrote:
> Ved du *positivt* at ikke-*BSD versioner af OpenSSH er kompromiterede?

Hvorfor skal det "kun" være begrænset til BSD?

Securityfocus, mener også slackware og Connectiva Linux er sårbar.


Christian E. Lysel (06-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 06-08-02 12:22

Michael Eriksen wrote:
> Relativt få her i gruppen kører med OpenBSD (undskyld OpenBSD-fans, men
> linux, Solaris, AIX osv. er mere udbredt).

Hvis du læser
...OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the
OpenBSD ftp server and potentially....
vil du se at version 3.2.2p1, 3.4p1 og 3.4 er sårbar.

Version 3.2.2p1 og 3.4p1 indeholder et lille "p", dette betyder at det
er source træet til de andre distribution, altså ikke OpenBSD udgaven,
af OpenSSH, der sårbar. Således er følgende distributioner muligvis også
trjoet,

* Debian Linux
* FreeBSD
* Suse Linux
* Redhat Linux
* Mandrake Linux
* BSDi BSD/OS
* NetBSD
* Computone
* Conectiva Linux
* Slackware Linux
* Caldera OpenLinux
* Stallion
* Rock Linux
* Cygwin
* e-smith server and gateway
* Engarde Linux
* MacOS X Version 10.1
* HP Procurve Switch 4108GL and 2524/2512
* IBM AIX
* Gentoo Linux
* Gwynux/Toadware Linux
* Sun Solaris 9 (named SunSSH)
* SmoothWall
* IPCop

Både linux og Solaris er i ovenstående liste.

Version 3.4 betyder at OpenBSD udgaven af OpenSSH også er sårbar, men
"kun" i version 3.4 :).


Michael Eriksen (06-08-2002)
Kommentar
Fra : Michael Eriksen


Dato : 06-08-02 12:33

Ja, så har jeg lært noget nyt (hmmm et lille p...).

Jeg undskylder til Thomas Rasmussen og begynder at chekke mine
OpenSSH'er. Tak for informationen.

Michael

> Hvis du læser
> ...OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on
> the
> OpenBSD ftp server and potentially....
> vil du se at version 3.2.2p1, 3.4p1 og 3.4 er sårbar.
>
> Version 3.2.2p1 og 3.4p1 indeholder et lille "p", dette betyder at
> det er source træet til de andre distribution, altså ikke OpenBSD
> udgaven, af OpenSSH, der sårbar. Således er følgende distributioner
> muligvis også trjoet,
[cut]

Peter Dalgaard BSA (06-08-2002)
Kommentar
Fra : Peter Dalgaard BSA


Dato : 06-08-02 13:37

"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:

> Michael Eriksen wrote:
> > Relativt få her i gruppen kører med OpenBSD (undskyld OpenBSD-fans,
> > men linux, Solaris, AIX osv. er mere udbredt).
>
> Hvis du læser
> ...OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the
> OpenBSD ftp server and potentially....
> vil du se at version 3.2.2p1, 3.4p1 og 3.4 er sårbar.
>
> Version 3.2.2p1 og 3.4p1 indeholder et lille "p", dette betyder at det
> er source træet til de andre distribution, altså ikke OpenBSD udgaven,
> af OpenSSH, der sårbar. Således er følgende distributioner muligvis
> også trjoet,
>
> * Debian Linux
> * FreeBSD
> * Suse Linux
> * Redhat Linux

Ikke RH, som jo netop backportede ændringerne til 3.1p1. Under alle
omstændigheder var det en "build trojan", som kun opererer på den
maskine man kompilerer på. Så SRPM'er kunne være problematiske for
slutbrugere, men ikke RPM'er (medmindre *.redhat.com har været
afficeret og i så fald er SSH formentlig det mindste problem...).

--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

Christian E. Lysel (06-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 06-08-02 13:53

>>af OpenSSH, der sårbar. Således er følgende distributioner muligvis
>>også trjoet,
> Ikke RH, som jo netop backportede ændringerne til 3.1p1. Under alle

Jeg skrev muligvis.

> omstændigheder var det en "build trojan", som kun opererer på den
> maskine man kompilerer på. Så SRPM'er kunne være problematiske for

Alligevel mener securityfocus at følgende er trojet,

Apple MacOS X 10, og

+ Conectiva Linux 6.0
+ Conectiva Linux 7.0
+ Conectiva Linux 8.0
+ FreeBSD FreeBSD 4.4
+ FreeBSD FreeBSD 4.5
+ FreeBSD FreeBSD 4.6
+ FreeBSD FreeBSD 5.0
+ Slackware Linux 8.1

Men på den anden side mener de heller ikke at OpenBSD har haft
problemer, hvad der er rigtigt eller ej ved jeg ikke.

> slutbrugere, men ikke RPM'er (medmindre *.redhat.com har været
> afficeret og i så fald er SSH formentlig det mindste problem...).

:)


Jesper Skriver (06-08-2002)
Kommentar
Fra : Jesper Skriver


Dato : 06-08-02 14:04

On Tue, 06 Aug 2002 14:52:40 +0200, Christian E. Lysel wrote:
>>>af OpenSSH, der sårbar. Således er følgende distributioner muligvis
>>>også trjoet,
>> Ikke RH, som jo netop backportede ændringerne til 3.1p1. Under alle
>
> Jeg skrev muligvis.
>
>> omstændigheder var det en "build trojan", som kun opererer på den
>> maskine man kompilerer på. Så SRPM'er kunne være problematiske for
>
> Alligevel mener securityfocus at følgende er trojet,
>
> Apple MacOS X 10, og
>
> + Conectiva Linux 6.0
> + Conectiva Linux 7.0
> + Conectiva Linux 8.0
> + FreeBSD FreeBSD 4.4
> + FreeBSD FreeBSD 4.5
> + FreeBSD FreeBSD 4.6
> + FreeBSD FreeBSD 5.0

Ingen FreeBSD version har haft importeret den berørte version.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

Christian Laursen (06-08-2002)
Kommentar
Fra : Christian Laursen


Dato : 06-08-02 12:20

"Magnus Pedersen" <mgpeder(remove)@hotmail.com> writes:

> Jeg kiggede lidt tilbage i gruppen men synes ikke jeg kunne finde
> henvisninger til dette:
> http://www.openssh.com/txt/trojan.adv
>
> Hvis nogen har hentet OpenSSH for nylig kan det være de lige skulle
> kontrolere det.

Der har været rigeligt med omtale om det problem på diverse
sikkerhedlister, som folk må antages at følge, hvis det er
relevant for dem.

--
Med venlig hilsen
Christian Laursen

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste