Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 8 reacties
Bron: OpenSSH, submitter: Steije

Via Steije komen we te Hier is meer informatie te vinden. De tweede exploit werd gevonden in OpenSSH 2.1.3 tot en met versie 3.3. Meer informatie is hier en hier te vinden. Hieronder staat het changelog van OpenSSH 3.5:

OpenSSH logo
  • Improved support for Privilege Separation (Portability, Kerberos, PermitRootLogin handling).
  • ssh(1) prints out all known host keys for a host if it receives an unknown host key of a different type.
  • Fixed AES/Rijndael EVP integration for OpenSSL < 0.9.7 (caused problems with bounds checking patches for gcc).
  • ssh-keysign(8) is disabled by default and only enabled if the HostbasedAuthentication option is enabled in the global ssh_config(5) file.
  • ssh-keysign(8) uses RSA blinding in order to avoid timing attacks against the RSA host key.
  • A use-after-free bug was fixed in ssh-keysign(8). This bug broke hostbased authentication on several platforms.
  • ssh-agent(1) is now installed setgid in order to avoid ptrace(2) attacks.
  • ssh-agent(1) now restricts the access with getpeereid(2) (or equivalent, where available).
  • sshd(8) no longer uses the ASN.1 parsing code from libcrypto when verifying RSA signatures.
  • sshd(8) now sets the SSH_CONNECTION environment variable.
  • Enhanced "ls" support for the sftp(1) client, including globbing and detailed listings.
  • ssh(1) now always falls back to uncompressed sessions, if the server does not support compression.
  • The default behavior of sshd(8) with regard to user settable environ variables has changed: the new option PermitUserEnvironment is disabled by default, see sshd_config(5).
  • The default value for LoginGraceTime has been changed from 600 to 120 seconds, see sshd_config(5).
  • Removed erroneous SO_LINGER handling.
  • Versienummer:3.5
    Besturingssystemen:Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, Linux x86, macOS, Solaris, UNIX
    Website:OpenSSH
    Download:ftp://ftp.nl.uu.net/pub/OpenBSD/OpenSSH/portable/
    Licentietype:Freeware
    Moderatie-faq Wijzig weergave

    Reacties (8)

    Tja ik heb OpenSSH 3.4, dus ik hoef niet te updaten.. Die zat bovendien in het OpenBSD snapshot dat ik draai dus het lijkt me ook niet dat ik me daar druk om hoef te maken..

    De volgende update komt wel weer als OpenBSD 3.2 klaar is..
    kwoot uit de readme:
    OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the
    OpenBSD ftp server and potentially propagated via the normal mirroring
    process to other ftp servers. The code was inserted some time between
    the 30th and 31th of July. We replaced the trojaned files with their
    originals at 7AM MDT, August 1st.
    Weet je het zeker?
    Ja. Als je de MD5SUM had gechecked was er niks aan de hand. Deze trojan zat niet in de distributie zoals Arzie zegt. De trojan zat stond 2 dagen op de FTP en een MD5SUM check had in die 2 dagen voor jou duidelijk gemaakt dat er iets niet klopte.

    De eerste remote exploitable bug in de default OpenBSD installatie zat in OpenBSD 3.1. De eerste keer in 6 jaar!. Iedereen zou moeten upgraden naar OpenSSH 3.2.x => met PrivSep OF naar 3.4 waarbij je ook secure bent zonder PrivSep. PrivSep is echter wel aan te raden aangezien het zorgt voor minder beveiligingsrisico (check man's voor details).

    Bovendien heeft TripleM gelijk dat OpenSSH 3.4 secure is. Dat verhaal van die exploit is hier vrij overbodig en blijkt confusing te zijn. Die remote exploit is nu al vrij oud, als je nu nog niet hebt gepatched in al die tijd heb je denk ik een probleem.

    OpenBSD 3.2 komt 1 november uit.Voorproefjes staan op OpenBSD main site. Het zal OpenSSH 3.5 bevatten! Zie OpenBSD 3.2 release notes!

    Hoop dat ik een aantal onduidelijkheden heb verduidelijkd... (nog ff wat verbeterd)
    Wat jij schrijft miste ik dus in TripleM's post, vandaar mijn kwoot :)
    Lijkt me toch best handig te weten hoe je erachter komt of jouw versie mogelijk besmet zou kunnen zijn.
    De trojan zat 'm in het configure script. Een port of binary is dus wsch. niet lek.

    Hij kan wel lek zijn. Een developers bak kan tijdens het uitvoeren van die trojan geroot zijn waardoor er vanalles mee gebeurd kan zijn.

    Da's een worst case scenario (WCS noem je dat?).

    Arzie: de FTP is eigendom van SunSite Canada. Dat is een behoorlijk dikke server waar nog veel meer op gehost wordt. Er draait SunOS op. Dat de eigenaars 'm zelf hebben getrojaned is wmb. onwaarschijnlijk. Dan zouden ze hier per definitie het OpenSSH/OpenBSD team een oor aan willen naaien.

    Er zijn nog wel meer programma's op precies dezelfde manier getrojaned. Hoe ze geroot zijn, zijn meerdere theorien over. Staat een stukje over op securityfocus.com. Aantal namen: irssi.org monkey.org bitchx.org en nog enkele (incl. de bijbehorende programma's dus).

    Ik heb zeer sterke vermoedens over wie zich hiermee bezig houdt maar geen zin om het te beargumenteren. Dan houd ik liever me muil erover..
    Het kan aan mij liggen, maar ik zie hem daar niet op die FTP :?
    Ik ook niet, hier staat ie wel: ftp://mirror.widexs.nl/pub/openssh/portable
    - MD5 (openssh-3.5p1.tar.gz) = 42bd78508d208b55843c84dd54dea848
    - MD5 (openssh-3.5.tgz) = 79fc225dbe0fe71ebb6910f449101d23
    Misschien ook wel even handig om te controleren :).
    Beetje een eng idee dat er tegenwoordig regelmatig trojans in de distributie mee kunnen komen. Kunnen er onrechtmatig mensen bij die FTP ofzo?

    dystopia: ik bedoelde ook meer in het distributieproces. Eigenlijk zouden alleen daartoe gerechtigde mensen bij de te verspreiden broncode en binaries moeten kunnen komen. Dus ook op de FTP waar de trojan opstond. Of was dit gewoon een FTP die als mirror dienst deed en misbruikt werd door de eigenaar/een cracker?

    Op dit item kan niet meer gereageerd worden.



    Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

    © 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True