Grossi guai per il nuovo OpenSSH

Scoperta una grossa falla nell'ultima versione del noto software open source che potrebbe aprire le porte ai cracker. Al momento non esiste ancora né patch né exploit

Roma - Ad avvisare la comunità della presenza di una grossa vulnerabilità nella più recente versione di OpenSSH, la 3.3p, è Theo de Raadt, uno degli sviluppatori del software e membro del team di OpenBSD. In un messaggio pubblicato su LinuxSecurity.com, Raadt ha avvertito che l'ultima versione di OpenSSH è afflitta da una falla, ancora non resa pubblica, che può essere sfruttata da un aggressore per eseguire, da remoto, codice a sua scelta.

Se venisse sviluppato un exploit per questa falla, qualunque cracker sarebbe in grado, secondo gli esperti, di ottenere una shell di root sui sistemi che utilizzano la versione incriminata di OpenSSH. A mitigare il pericolo c'è il fatto che la versione 3.3p del software è stata rilasciata pochi giorni fa ed è dunque difficile che essa sia stata installata in sistemi mission critical o con una particolare valenza per la sicurezza.

Raadt ha spiegato che la vulnerabilità non può essere sfruttata da remoto se è attivata la funzione "Privilege Separation": è questa un'opzione che può essere abilitata, al prezzo di rinunciare a qualche funzionalità di SSH, dal file di configurazione "/etc/ssh/sshd_config".
Raadt, che conta di rilasciare una versione patchata di OpenSSH già a partire da questo venerdì, polemizza con "molti vendor" sul fatto di non aver ricevuto sufficiente assistenza per testare la nuova funzionalità Privilege Separation introdotta in OpenSSH 3.3; una funzionalità che, se attivata di default, Raadt sostiene possa limitare di molto i rischi per la sicurezza.

"Loro (i vendor) ci hanno sostanzialmente ignorati", si lamenta Raadt. "Alcuni, come Alan Cox (noto hacker del kernel di Linux alle dipendenze di Red Hat, NdR), sono persino arrivati a sostenere di non voler lavorare sulla Privilege Separation perché "Nessuno ci ha fornito alcuna informazione che dimostri il problema, e molta gente non ti crede Theo"".

Update (ore 18,43): è stata rilasciata la nuova versione 3.4 di OpenSSH che corregge la vulnerabilità descritta in precedenza. Può essere scaricata dal sito ufficiale: http://www.openssh.com.
85 Commenti alla Notizia Grossi guai per il nuovo OpenSSH
Ordina
  • Un bel log pieno di IP di ragazzini stupidi da segnalare agli sbirri.
    non+autenticato


  • - Scritto da: Pogoboy
    > Un bel log pieno di IP di ragazzini stupidi
    > da segnalare agli sbirri.

    ehm...
    non logga nulla... il processo va in segfault prima
    almeno a me... apache 1.3.26
    non+autenticato
  • - Scritto da: maks
    > ehm...
    > non logga nulla... il processo va in
    > segfault prima

    Allora dovro' segnalare anche quelli che fanno i ping!

    > almeno a me... apache 1.3.26

    Io ci sto provando da un pezzo... che dovrei fare per farlo funzionare? =)
    non+autenticato
  • > > ehm...
    > > non logga nulla... il processo va in
    > > segfault prima
    >
    > Allora dovro' segnalare anche quelli che
    > fanno i ping!
    >

    io in access log non trovo nulla
    ma dentro error log trovo tutta sta roba
    [Wed Jun 26 10:53:12 2002] [notice] child pid 7007 exit signal Segmentation fault (11)

    e in teoria la versione 1.3.26 e' patchata

    > > almeno a me... apache 1.3.26
    >
    > Io ci sto provando da un pezzo... che dovrei
    > fare per farlo funzionare? =)

    su linux al massimo, se ti ci metti di impegno, crei un Dos, perche' ammazzi a ripetizione i processi di apache, ma non c'e' exploit
    (sempre) in teoria su open,free, net BSD l'exploit dovrebbe aprire un shell
    ma non avendo BSD a disposizione non ho potuto testarlo

    ciao
    non+autenticato
  • - Scritto da: maks

    > io in access log non trovo nulla

    infatti

    > ma dentro error log trovo tutta sta roba

    li' neanche

    > e in teoria la versione 1.3.26 e' patchata

    se desse core dump lo vedrei in /var/log/messages...

    > > > almeno a me... apache 1.3.26

    apache-1.3.26_3

    > su linux al massimo, se ti ci metti di

    su linux l'exploit e' che quando lo installo mi viene mal di pancia =)

    > (sempre) in teoria su open,free, net BSD
    > l'exploit dovrebbe aprire un shell

    qui il "brute force" e' a 0x933ee00 ma non si vede niente di niente, tantomeno una shell...?

    a parte il fatto che tutti ora si riempiono la bocca di memcpy, ma quando la zlib aveva scazzi con la gnu/free tutti tacevano... uno spassoSorpresa)
    non+autenticato
  • > a parte il fatto che tutti ora si riempiono
    > la bocca di memcpy, ma quando la zlib aveva
    > scazzi con la gnu/free tutti tacevano... uno
    > spassoSorpresa)

    sono neutrale rispetto ai dueSorride
    non+autenticato
  • - Scritto da: maks

    > sono neutrale rispetto ai dueSorride

    io sono a 0xbb9da00 e ancora niente...Triste
    non+autenticato
  • Avente scritto:

    <snip>
    A mitigare il pericolo c'è il fatto che la versione 3.3p del software è stata rilasciata pochi giorni fa ed è dunque difficile che essa sia stata installata in sistemi mission critical o con una particolare valenza per la sicurezza.
    </snip>

    Forse dovreste imparare l'inglese e rileggervi l'advisory: l'exploit e' presente in TUTTE le versioni, semplicemente utilizzando l'ultimissima e attivanto la separazione del forking, e' possibile mitigare il problema.
    non+autenticato
  • > Forse dovreste imparare l'inglese e
    > rileggervi l'advisory: l'exploit e' presente
    > in TUTTE le versioni, semplicemente
    > utilizzando l'ultimissima e attivanto la
    > separazione del forking, e' possibile
    > mitigare il problema.

    ma la separazione del forking cos'e'?
    la separazione della biforcazione?Occhiolino

    ciao
    non+autenticato
  • Sarebbe bello se PI evitasse di mettere titoli cattura click quando sono inessatti!!!
    (un minimo di serietà giornalistica non guasta)
    almeno per mandrake la patch c'è dal 24
    http://www.mandrakelinux.com/en/security/mdk-updat...
    non+autenticato
  • Potrei anche sbagliarmi, ma io avevo capito che la "patch" al momento è solo la versione 3.3p1 con la modalità privsep attivata. Ovvero, anche la questa versione in realtà, senza privsep, è bacata, e si attende o una versione 3.3.1 o una versione 3.4 per risolvere completamente il problema.
    Sbaglio?

    - Scritto da: luca
    > Sarebbe bello se PI evitasse di mettere
    > titoli cattura click quando sono
    > inessatti!!!
    > (un minimo di serietà giornalistica non
    > guasta)
    > almeno per mandrake la patch c'è dal 24
    > http://www.mandrakelinux.com/en/security/mdk-
    non+autenticato
  • infatti non è una patch.
    non+autenticato

  • Esattamente:

    "A yet undisclosed vulnerability exists in OpenSSH. You are strongly encouraged to upgrade immediately to OpenSSH 3.3 with the UsePrivilegeSeparation option enabled. Privilege Separation blocks this problem. Keep an eye out for the upcoming OpenSSH 3.4 release on Monday that fixes the vulnerability itself."

    http://www.openssh.org

    non+autenticato
  • Beh, mi sembra un po' esagerato... intanto tu parli solo di mandrake, mentre openSSH gira su un bel po' di sistemi, e poi l'articolo voleva mettere in luce il bug e le polemiche tra Raadt e i "molti vendor" che non l'hanno supportato...

    - Scritto da: luca
    > Sarebbe bello se PI evitasse di mettere
    > titoli cattura click quando sono
    > inessatti!!!
    > (un minimo di serietà giornalistica non
    > guasta)
    > almeno per mandrake la patch c'è dal 24
    > http://www.mandrakelinux.com/en/security/mdk-
    non+autenticato
  • Pare che Vnunet.com concordi in pieno con quanto scritto da PI:

    "Developers issue OpenSSH alert
    By James Middleton [25-06-2002]

    >Patch not expected until Friday<

    Open source developers yesterday warned of a significant vulnerability in OpenSSH, a tool that ships with many Linux and Unix flavours.
    The details of the hole have not been made public because a patch is not yet available, but the secrecy of the developers has caused a schism in the open source community.

    Yesterday, Theo de Raadt, lead developer for OpenSSH, a free tool that many administrators use as a secure alternative to Telnet and FTP, announced a significant remotely exploitable vulnerability.

    Even version 3.3 of OpenSSH, released only days ago, is vulnerable.

    But de Raadt has not announced the finer points of the vulnerability because a patch has to yet be made available.

    He insisted that details would be released on Thursday to give distributors time to get updated versions of the tool together before hackers get their hands on exploit code.

    In the meantime, de Raadt has detailed a workaround that will secure a system running OpenSSH, although it may break some functionality in the tool. "

    - Scritto da: luca
    > Sarebbe bello se PI evitasse di mettere
    > titoli cattura click quando sono
    > inessatti!!!
    > (un minimo di serietà giornalistica non
    > guasta)
    > almeno per mandrake la patch c'è dal 24
    > http://www.mandrakelinux.com/en/security/mdk-
    non+autenticato
  • > Pare che Vnunet.com

    Io mi fido di PI, e di questo forum, ma non di Vnunet, che pubblica anche sacchi di ........
    non+autenticato

  • Dalla ML di bugtraq leggo che:

    "Let me repeat: even if the bug exists in a privsep'd sshd, it is not exploitable. "

    E questo lo dice proprio Theo de Raadt. Questo non conincide con l'articolo di PI.

    Mi sfugge qualcosa ?
    non+autenticato
  • Questo è l'articolo apparso ieri su LinuxSecurity...

    http://www.linuxsecurity.com/articles/cryptography...

    non+autenticato
  • Scusa, perché non coincide? Dice che se il baco esiste anche con la funzione privsep attivata, in ogni caso non può essere sfruttato da remoto. Questo perché la funzione privsep fa proprio in modo che ciò non avvenga.
    Mi sembra in linea con quanto scrive l'articolista.

    - Scritto da: Giambo
    >
    > Dalla ML di bugtraq leggo che:
    >
    > "Let me repeat: even if the bug exists in a
    > privsep'd sshd, it is not exploitable. "
    >
    > E questo lo dice proprio Theo de Raadt.
    > Questo non conincide con l'articolo di PI.
    >
    > Mi sfugge qualcosa ?
    non+autenticato


  • - Scritto da: Giambo
    >
    > Dalla ML di bugtraq leggo che:
    >
    > "Let me repeat: even if the bug exists in a
    > privsep'd sshd, it is not exploitable. "
    >
    > E questo lo dice proprio Theo de Raadt.
    > Questo non conincide con l'articolo di PI.
    >
    > Mi sfugge qualcosa ?

    no, nulla

    if (privsep enabled) // caso molto raro
    exploitable = false;
    else
    exploitable = true;

    ciao
    non+autenticato
  • cosa può pensare un troll del open source, be
    considerando che poi il buco e in un progr che dovrebbe garantire la sicurezza cosa dire di più vi risparmio ogni commento e sperem che l'ideologia open sorcio faccia la stessa fine di quella comunista, cioè due tre cortei all'anno con quattro pirla che indossano la maghletta del che(ma poi chi è bo non lo sanno neanche loro)
    non+autenticato
  • Beh, te lo sei detto da solo e quindi rimane poco da aggiungere...
    non+autenticato
  • Pur senza andare a "scomodare" win*, devo avvertirti che generalmente il sw closed rimane più bug-ato o anche più densamente bug-ato (quest'ultimo è il caso di win*); il miglior esempio: Apache (7 bug dal 96 ad oggi) vs IIS (oltre 60 bug dal 96 ad oggi).
    Oltre, poi, ai bug noti, andrebbe aggiunto che parte dei bug sono nascosti nel sw closed, ed è più facile individuarli nel sw open essendo a sorgenti aperti.
    Infine per quanto attiene a questa vulnerabilità (di cui addirittura Alan Cox dubita l'esistenza; e questa guerra nell'ambito open source non giova), va detto innanzi tutto che essendo la vers. delle openssh in oggetto rilasciata qualche giorno fà, non colpirà nessun server d'esercizio (al max quelli di test) ed è facilmente agirabile intervenendo sulla conf.; certamente è fortuna però non del tutto poi: il fatto di essere a sorgenti aperti porta i bug dei sw open ad essere scoperti prima.
    Va ricordato anche che le OpenSSH introdotte dal team di OpenBSD sono un cardine di questo o.s. ed è anche grazie a queste che OpenBSD ha raggiunto l'invidiabile record di non aver avuto nessun bug in installazione da remoto per oltre 4 anni; record terminato oltre 1 anno fà proprio grazie ad un bug delle OpenSSH che "incorporava" la vers. di OpenBSD di allora. Ora questo bug non intaccherà cmq la nuova rincorsa di OpenBSD a battere il suo record, visto che le vers. che escono di OpenBSD (la 3.1 è uscita a giugno) "incorporano" le vers. di OpenSSH più "datate" e quindi più sicuro.
    Inutile aggiungere che quel record di oltre 4 anni di OpenBSD (e OpenSSH) dovrebbe far riflettere, oltre a smentire l'affermazione del post iniziale.
    non+autenticato
  • Ma se ha detto che è un troll cosa ti prodighi a dare le solite risposte?
    non+autenticato
  • A me sembra ironico il titolo.
    E poi le risposte non sono tanto solite, riguardano OpenSSH e per quel che sò, non mi ricordo che siano molto state tratatte da PI.
    Se poi il titolo non è ironico,..... bè allora hai ragione.
    non+autenticato


  • - Scritto da: Lemon
    > Ma se ha detto che è un troll cosa ti
    > prodighi a dare le solite risposte?

    chi tace acconsente.
    non+autenticato
  • ...ma guarda che TROLL non è solo colui che spara a zero sull'opensource. è chiunque scriva un commento con il solo scopo di dare fastidio e di generare un flame (dove flame = risposte incazzate da una grossa parte degli utenti senza dare spiegazioni né controbattere). l'argomento in sé, ti ripeto, non c'entra niente. si può essere TROLL anche sparando fesserie contro Microsoft, se l'intenzione è solo quella di fare girare le scatole al prossimo.

    ciao
    godz
    non+autenticato
  • - Scritto da: trollforever

    > cosa può pensare un troll del open source,
    > be...

    Prima di tutto, torna a studiare la grammatica italiana.
    non+autenticato
  • non diciamo ste cose x carità, sono fascista e mi dai del comunista xkè uso linux, tristezza.
    Perfettamente d'accordo su tutte le altre cose
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)