The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в OpenSSH, позволяющая определить наличие пользов..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от opennews (?), 16-Авг-18, 08:18 
В OpenSSH выявлена (http://seclists.org/oss-sec/2018/q3/124) проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователей с данным именем в системе.

Метод базируется на разности поведения при обработке запроса на аутентификацию для существующего и неизвестного пользователя. Атакующий может отправить некорректный запрос аутентификации (например, отправить повреждённый пакет), в случае отсутствия пользователя в системе выполнение функции userauth_pubkey() завершиться сразу с отправкой ответа SSH2_MSG_USERAUTH_FAILURE. Если пользователь присутствует в системе  произойдёт сбой при вызове функции sshpkt_get_u8() и сервер просто молча закроет соединение.


Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита - для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время обработки операции проверки для существующего и несуществующего пользователя. Без выравнивания времени проверки атакующий может проанализировать время выполнения операции и если очередная проверка выполняется дольше обычного, сделать вывод о наличии запрошенного пользователя в системе и перейти к подбору пароля для конкретного логина.

URL: http://seclists.org/oss-sec/2018/q3/124
Новость: https://www.opennet.me/opennews/art.shtml?num=49142

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +4 +/
Сообщение от bar0metremail (?), 16-Авг-18, 08:18 
Ну вот, приехали...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  –2 +/
Сообщение от Аноним (20), 16-Авг-18, 12:30 
Посоветуйте достойную открытую альтернативу OpenSSH. Там уязвимость на уязвимосте.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +14 +/
Сообщение от A.Stahl (ok), 16-Авг-18, 12:37 
Приехали. Гражданин, освободите вагон.
>на уязвимосте

Гражданина, выходяйте из трамвавайа. Чух-чух ездяет у деппо.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от Аноним (20), 16-Авг-18, 12:42 
Не кривляйся
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +6 +/
Сообщение от Аноним (26), 16-Авг-18, 13:24 
telnet
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от sdog (ok), 16-Авг-18, 15:33 
over ssl
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Anonymoussemail (?), 16-Авг-18, 17:27 
ssh over ssl...
есть ли смысл?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

51. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним (51), 17-Авг-18, 12:56 
осциллограф овер ССЛ

(ну, я лично знавал электронщиков 90-го уровня, которые используют осциллограф вместо дебаггера, так что подумал, что аналоговый аутентификатор, и туннель канального уровня с глубинным обучением вполне реальны)

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним84701 (ok), 16-Авг-18, 20:33 
> telnet

тогда уж rlogin, rsh - там уже лет 20 как уязвимостей не находили!

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

42. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от ыртулз (?), 16-Авг-18, 21:04 
Дадад, это обалденная альтернатива. 20 лет как никто этим не хочет в здравом уме пользоваться.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

2. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  –4 +/
Сообщение от Аноним (2), 16-Авг-18, 08:18 
> Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита

Так, а вот с этого места, пожалуйста, по подробнее и с консольными командами.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +3 +/
Сообщение от KonstantinB (ok), 16-Авг-18, 08:40 
С какими командами? Защита там из коробки. То, что сейчас обнаружили и исправили - это то, что защита не срабатывает, если специальным образом повредить пакет.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним (16), 16-Авг-18, 11:40 
> То, что сейчас обнаружили и исправили

Еще не исправили.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

53. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok), 17-Авг-18, 14:18 
Как раз именно что кто-то обратил внимание на один из коммитов и понял, что решаемая им проблема больше, чем может показаться на первый взгляд. Пройдите по ссылке к новости, что ли...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

4. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним (4), 16-Авг-18, 08:46 
Читаем чуть дальше и ...это тоже не панацея
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от Харитон (?), 16-Авг-18, 08:55 
4k ключ поможет...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

59. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним (59), 20-Авг-18, 22:49 
От квантового компьютера то? :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  –1 +/
Сообщение от Нанобот (ok), 16-Авг-18, 09:00 
"присутствует защита" - слишком громко сказано. просто оно спроектировано так, чтобы по ответу сервера нельзя было определить, было ли указано неправильное имя пользователя или неправильный пароль.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +2 +/
Сообщение от Аноним (12), 16-Авг-18, 10:27 
Ну а как бы ты сделал?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от Аноним (13), 16-Авг-18, 10:56 
"что-то пошло не так" вместо ответа на оба варианта
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +9 +/
Сообщение от Аноним (14), 16-Авг-18, 11:04 
нужно не просто одинаково ответить, нужно еще и по времени одинаково обрабатывать запрос. т.к. если на существующего пользователя ты отвечаешь за 200мс, а на несуществующего - 50мс, то вообще плевать, что ты там отвечаешь.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним (-), 16-Авг-18, 13:02 
> нужно не просто одинаково ответить, нужно еще и по времени одинаково обрабатывать

ну добавить 150с ожидания в первом случае. Или рандомное время ожидания (до определенного значения) добавлять ко всему


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +4 +/
Сообщение от PereresusNeVlezaetBuggy (ok), 16-Авг-18, 15:10 
Ну вот примерно так и сделано было. Только промахнулись с одним вариантом развития событий.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним (32), 16-Авг-18, 16:36 
Кривая обработка от тайминг аттак.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  –1 +/
Сообщение от Ан (??), 16-Авг-18, 15:36 
Не добавить, а фиксированное время обработки ввести. Например, 2 минуты =)
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

52. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от Нанобот (ok), 17-Авг-18, 13:36 
> Ну а как бы ты сделал?

я бы сделал именно так, как сделано в openssh

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

5. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +2 +/
Сообщение от lone_wolf (ok), 16-Авг-18, 08:55 
Эм а патчи уже какие-то есть? И кто нибудь знает номер этой проблемы, чтоб можно было в ченжлоге к обновленному пакету смотреть исправлена эта проблема или нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от yrii2121 (ok), 17-Авг-18, 10:45 
Tracked issues without a CVE name.
https://security-tracker.debian.org/tracker/TEMP-0906236-B6E4B3
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

54. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +2 +/
Сообщение от PereresusNeVlezaetBuggy (ok), 17-Авг-18, 14:19 
В первоисточнике вполне чётко показано, что уязвимость нашли уже после её исправления.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +6 +/
Сообщение от Аноним (8), 16-Авг-18, 09:12 
Ну узнает хацкир, что у меня есть в системе пользователи с именем root и "I+i4Jl[t5h>}|<" , дальше что? Потом узнает, что в системе работает fail2ban и  firewall настроенные, и пускают туда только по ключам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Maxim (??), 17-Авг-18, 15:30 
С такой энтропией (~84bit) на гигабитном канале (условно 1 000 000 пакетов в секунду) и при отсутствии fail2ban и DDoS protection - миллиарды лет.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от A.Stahl (ok), 16-Авг-18, 09:28 
Совсем сайт поломали. Ну тогда сами исправляйте глупые ошибки в тексте.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-18, 12:17 
> Совсем сайт поломали. Ну тогда сами исправляйте глупые ошибки в тексте.

Гм, ну исправил, вроде "патч" ушёл...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

24. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от A.Stahl (ok), 16-Авг-18, 13:01 
У тебя есть какой-то доступ ближе к сути? У меня вообще не было кнопки отправить изменения. Да и как-то последнее время сайт себя странно ведёт: там вылезет, там перекосит, там ещё фигня какая-то.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-18, 16:26 
> У тебя есть какой-то доступ ближе к сути? У меня вообще не
> было кнопки отправить изменения. Да и как-то последнее время сайт себя
> странно ведёт: там вылезет, там перекосит, там ещё фигня какая-то.

Это не кнопка, а ссылка -- справа внизу под текстом новости на основной её странице:

---
исправить  +11 +/–
--- https://www.opennet.me/opennews/art.shtml?num=49142

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

33. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от A.Stahl (ok), 16-Авг-18, 16:47 
Неужели моё сообщение НАСТОЛЬКО невразумительно? Я могу зайти в режим редактирования, но там нет кнопки коммита.


Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-18, 16:50 
> Неужели моё сообщение НАСТОЛЬКО невразумительно?

Как минимум для меня, выходит, да.

> Я могу зайти в режим редактирования, но там нет кнопки коммита.

Всю дорогу были кнопки "сохранить" и "восстановить" опять же справа внизу под формой редактирования существующей новости.  Сломать или потерять не пробовал, правда.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним84701 (ok), 16-Авг-18, 20:28 
> Неужели моё сообщение НАСТОЛЬКО невразумительно? Я могу зайти в режим редактирования, но
> там нет кнопки коммита.

У меня (но только в "нефорумном" режиме просмотра) есть. У Михаила есть. Даже у простого, неномерного анонима - тоже есть (зашел и проверил). И только у вас нет. Выводы прямо таки напрашиваются :)


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

47. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от КО (?), 17-Авг-18, 08:15 
Ctrl+0 не помогает?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

10. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +3 +/
Сообщение от Аноним (10), 16-Авг-18, 09:37 
Вы всё ещё используете ssh с паролем? Тогда мы идём к вам!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  –3 +/
Сообщение от Аноним (15), 16-Авг-18, 11:09 
во времена дырявых процессоров использовать ключи не слишком надежнее.
разве что использовать одноразовые пароли распечатанные на бумажке.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от A.Stahl (ok), 16-Авг-18, 12:07 
Во вторую мировую британская разведка смогла пебедить даже шифрблокноты. Именно математически, а не кражей материалов.
Даже шифрблокнотам нет веры, хотя казалось бы...
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +3 +/
Сообщение от Пользователь Debian (?), 16-Авг-18, 12:26 
Шифроблокнот длиной с общую длину всех сообщений, зашифрованных с его использованием (или длиннее) невозможно победить математически — даже во Вторую Мировую.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от A.Stahl (ok), 16-Авг-18, 12:33 
И?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  –2 +/
Сообщение от anonymous (??), 16-Авг-18, 13:50 
и значит что сказаное тобой лишь флюродросинг могучей сильной светлой и чистой как роса на утреннем солнце западной науке.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

35. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Пшшш (?), 16-Авг-18, 16:53 
Использую SSH с паролем+TOTP RFC 4226. Приходите, буду рад.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

38. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от имя (?), 16-Авг-18, 17:57 
так не честно.

Мы для vpn тоже так, а вот для ssh как-то проще с ключами, хотя так наверное даже безопаснее.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от Аноним (37), 16-Авг-18, 17:33 
придут же ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Ilya Indigo (ok), 16-Авг-18, 20:58 
Апстрим на это как-то отреагировал?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok), 17-Авг-18, 14:20 
На что? На то, что обнаружили уязвимость в коде, который был уже пропатчен?
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

56. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Ilya Indigo (ok), 17-Авг-18, 14:27 
> На что? На то, что обнаружили уязвимость в коде, который был уже
> пропатчен?

1 Из текста новости не понятно исправлена она или нет.
2 Апстим должен выпускать обновления, а не патчить.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

57. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok), 17-Авг-18, 14:32 
>> На что? На то, что обнаружили уязвимость в коде, который был уже
>> пропатчен?
> 1 Из текста новости не понятно исправлена она или нет.

Поправьте автора новости?

> 2 Апстим должен выпускать обновления, а не патчить.

И выпустит. Проблема критической не считается, так что внеочередного релиза, скорее всего, не будет (но я с djm@ водку по утрам не пью, так что зарекаться не буду).

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

43. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от Аноним (43), 16-Авг-18, 22:29 
PoC: http://seclists.org/oss-sec/2018/q3/125
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Ващенаглухо (ok), 17-Авг-18, 09:04 
чет paramiko не заработал
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

44. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним (44), 17-Авг-18, 00:31 
Фейспалмище! То есть они специально работали над выравниванием времени в том и другом случае, но при этом оставили разное поведение?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Стоп (?), 17-Авг-18, 01:30 
Это OpenSSH. А Фейспал за углом в трех кварталах отсюда.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

48. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от КО (?), 17-Авг-18, 08:17 
Поведение разное в третьем и четвертом случае. В первых двух выровняли.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +1 +/
Сообщение от Аноним (46), 17-Авг-18, 03:48 
Похожая проблема openssh от 2016 года https: https//www.opennet.ru/opennews/art.shtml?num=44802
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Уязвимость в OpenSSH, позволяющая определить наличие пользов..."  +/
Сообщение от Аноним (60), 21-Авг-18, 07:00 
Ты вручную адрес ссылки что ли писал?
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру