Sortie de Open SSH 3.7

Posté par ours Ours le 16 septembre 2003 à 17:41. Modéré par Pascal Terjan.

Étiquettes :

sept.

2003

OpenSSH est un célèbre serveur prenant en charge les protocoles SSH version 1.3, 1.5 et 2.0.
Il vient juste de sortir une nouvelle version, la 3.7. La mise à jour est recommandée puisqu'un bug potentiellement exploitable au niveau de la sécurité a été corrigé.

NdM : La page en français n'est pas encore à jour. Le fait que le problème de gestion du buffer soit utilisable contre la sécurité du serveur est réellement à prendre au conditionnel, l'équipe de OpenSSH a préféré prendre les devants.

A part ceci, parmis les nouveautés :
- Tout le code non ssh 1.x est désormais dans une license de type BSD sans publicité.
- L'authentification par Rhosts a été supprimée dans ssh and sshd.
- Modifications sur le support de Kerberos (Suppression de Kerberos IV et de l'AFS, de Kerberos V sous SSH 1...)
- Modification de l'ordre d'essai des clés lors d'une authentification par clé publique.
- Le support de SOCKS5 a été ajouté dans le mode de transfert dynamique
- Suppression de barrière pour l'utilisation de SSH sur SCTP
- Les clients sftp peuvent désormais transférer des fichiers avec des apostrophes dans leur nom
- Suppression de fuites mémoires
- Support experimental de "aes128-ctr", "aes192-ctr", et "aes256-ctr" pour SSH v2.

Aller plus loin

Le site officiel (16 clics)
Téléchargement (sur le site principal) (NdM : saturé actuellement) (12 clics)
Les miroirs (10 clics)

# Re: Sortie de Open SSH 3.7

Posté par ramzez le 16 septembre 2003 à 17:57. Évalué à -3.

toujours pas dans debian security ... ils sont en retard pour une fois :/
- [^] # Re: Sortie de Open SSH 3.7
  
  Posté par Opaflamme le 16 septembre 2003 à 18:05. Évalué à 3.
  
  pas encore annonce mais le package est dispo en download.
- [^] # Re: Sortie de Open SSH 3.7
  
  Posté par crevette le 16 septembre 2003 à 19:41. Évalué à 2.
  
  Dans Gentoo c'est bon
  - [^] # Re: Sortie de Open SSH 3.7
    
    Posté par FRLinux le 16 septembre 2003 à 21:58. Évalué à 0.
    
    Debian secu aussi, je viens de maj mes woody
    
    Steph
# Re: Sortie de Open SSH 3.7

Posté par Alan_T le 16 septembre 2003 à 18:23. Évalué à 5.

Cela pourrait-il être dû à ça :
http://www.eviladmin.org/cvs/cvsweb.cgi/buffer.c(...)
http://www.eviladmin.org/cvs/cvsweb.cgi/buffer.c.diff?r1=1.14&r(...)
- [^] # Re: Sortie de Open SSH 3.7
  
  Posté par Alan_T le 16 septembre 2003 à 18:25. Évalué à 2.
  
  Je veux dire la faille de sécurité !
  Cela ressemble fort à un exploit par dépassement de tampon et ce patch (fait fin juillet) ressemble à s'y méprendre à un patch fixant un problème éventuel de dépassement de tampon (mais je ne suis pas un spécialiste !!!)...
  - [^] # Re: Sortie de Open SSH 3.7
    
    Posté par syntaxerror le 16 septembre 2003 à 18:40. Évalué à 3.
    
    Il parait que c'est celui-ci:
    http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/buffer.c.d(...)
    - [^] # Re: Sortie de Open SSH 3.7
      
      Posté par Alan_T le 16 septembre 2003 à 19:02. Évalué à 1.
      
      Ok, merci ! :-)
    - [^] # Re: Sortie de Open SSH 3.7
      
      Posté par Misc (site web personnel) le 16 septembre 2003 à 20:27. Évalué à 2.
      
      J'ai vite lu les modifications, mais, à part risquer de désallouer de la mémoire qui n'a pas été alloué, on risque quoi ( bon ok, ça fait un crash ) ?
      
      Autant je comprends le probléme d'un débordement de tampon, autant je ne voit pas l'exploit potentiel ici, à premiere vue. Quelqu'un peut expliquer ?
      
      J'aurais pu penser à un éventuel décalage de la mémoire, mais non, ça marche pas comme ça, la mémoire libére ne descend pas dans la pile, j'ai trop joué a crackattack...
      - [^] # Re: Sortie de Open SSH 3.7
        
        Posté par ours Ours le 16 septembre 2003 à 20:35. Évalué à 7.
        
        voilà ce qu'en dit la mailing list de freebsd : II. Problem Description When a packet is received that is larger than the space remaining in the currently allocated buffer, OpenSSH's buffer management attempts to reallocate a larger buffer. During this process, the recorded size of the buffer is increased. The new size is then range checked. If the range check fails, then fatal() is called to cleanup and exit. In some cases, the cleanup code will attempt to zero and free the buffer that just had its recorded size (but not actual allocation) increased. As a result, memory outside of the allocated buffer will be overwritten with NUL bytes. III. Impact A remote attacker can cause OpenSSH to crash. The bug is not believed to be exploitable for code execution on FreeBSD.
    - [^] # Re: Sortie de Open SSH 3.7
      
      Posté par Olivier Jeannet le 16 septembre 2003 à 20:47. Évalué à 2.
      
      URL d'un diff graphique en HTML
      
      Je suis un peu hors sujet, mais c'est magnifique ce truc (le diff en HTML et en couleur), je découvre (oui je vis sous l'eau, comme disent certains :-). Si j'ai bien saisi, c'est cvsweb qui génère ça ?
      - [^] # Re: Sortie de Open SSH 3.7
        
        Posté par ckyl le 16 septembre 2003 à 22:16. Évalué à 5.
        
        Tu es dans une grotte et tu viens d'avoir le net grace au WIFI ? :-)))
        
        [^] # Re: Sortie de Open SSH 3.7
        
        Posté par Arnaud le 16 septembre 2003 à 22:26. Évalué à 3.
        
        lol, mais bon, pour un simple utilisateur, cvsweb, c'est pas la killer-app à connaitre ;-)
        Quoi que, cvs+cvsweb pour gérer des documents texte qui bougent sur de longues périodes, c'est sympa!
# Au niveau de la mer...

Posté par Nicolas Melay le 16 septembre 2003 à 22:17. Évalué à 3.

Merci de le pas employer "au niveau de" à tort et à travers.

http://www.langue-fr.net/index/N/niveau.htm(...)
http://www.ulaval.ca/scom/Au.fil.des.evenements/1994/06/020.html(...)
- [^] # Re: Au niveau de la mer...
  
  Posté par Pierre Tramo le 16 septembre 2003 à 22:27. Évalué à 1.
  
  \o/ Ojounet ! \o/
# Sortie de OpenSSH 3.7.1

Posté par j le 17 septembre 2003 à 00:40. Évalué à 5.

La version 3.7.1 vient de sortir, avec des correctifs supplémentaires pour ce bogue.

Deux dans la meme journée :)
- [^] # Re: Sortie de OpenSSH 3.7.1
  
  Posté par j le 17 septembre 2003 à 00:51. Évalué à 4.
  
  Le patch pour passer de 3.7 à 3.7.1 :
  
  ftp://ftp.fr.pureftpd.org/misc/openssh-fix2.patch(...)
  - [^] # Re: Sortie de OpenSSH 3.7.1
    
    Posté par j le 17 septembre 2003 à 01:04. Évalué à 5.
    
    Il y a en fait des correctifs pour un tout autre bogue, mais qui a l'air beaucoup plus exploitable.
    
    Allez, on met une fois de plus ses machines à jour !
    - [^] # Re: Sortie de OpenSSH 3.7.1
      
      Posté par Misc (site web personnel) le 17 septembre 2003 à 12:15. Évalué à 1.
      
      Ah ?
      
      C'est toujours le meme type de probléme de libération de mémoire qui ne devrais pas être libéré, donc, est ce que tu peut justifier pourquoi ça serait plus exploitable que le précedent ?
      
      Sachant que j'attends toujours l'exploit promis pour le premier...
      - [^] # Re: Sortie de OpenSSH 3.7.1
        
        Posté par j le 17 septembre 2003 à 16:26. Évalué à 3.
        
        Dans le premier cas lors de la libération il y a 32K de zeros supplémentaires qui sont écrits. 32k c'est beaucoup, ca bousille toutes les structures qui suivent et à part un crash, on ne peut pas en tirer grand chose.
        Dans le second cas ce ne sont que 10 octets supplémentaires qui sont écrits, on peut donc (suivant l'implémentation de malloc) toucher quelque chose d'intéressant juste après, et changer la taille d'un bloc utilisé par la suite.
        D'autre part le premier bogue s'obtient en cas de saturation de mémoire.
        Le second est beaucoup moins aléatoire à provoquer.
# Re: Sortie de Open SSH 3.7

Posté par Pascal Terjan le 17 septembre 2003 à 00:46. Évalué à 6.

# Téléchargement (sur le site principal) (NdM : saturé actuellement) (148 hits)
# Les miroirs (64 hits)

Ma NdM est invisible ou les gens sont cons ?
- [^] # Re: Sortie de Open SSH 3.7
  
  Posté par Anonyme le 17 septembre 2003 à 01:42. Évalué à 2.
  
  Apparement beaucoup de mirroirs ne sont pas encore a jour.
- [^] # Re: Sortie de Open SSH 3.7
  
  Posté par Anonyme le 17 septembre 2003 à 21:00. Évalué à 1.
  
  Les deux ? :o)
# encore une nouvelle version : 3.7.1

Posté par ramzez le 17 septembre 2003 à 02:20. Évalué à 2.

apporte des correctifs supplémentaires pour le même problème
http://openssh.org/(...)
# Re: Sortie de Open SSH 3.7

Posté par Guillaume Estival le 17 septembre 2003 à 09:28. Évalué à 1.

Il semble que l'exploit existe deja (j'ai pas lu tout le thread, certains pensent que ca vient de la compatibilite SSH1)

http://lists.netsys.com/pipermail/full-disclosure/2003-September/01(...)

Il est donc possible que d'autres mise a jour voient le jour (le message d'origine est date d'hier)

LW.
- [^] # Re: Sortie de Open SSH 3.7
  
  Posté par Misc (site web personnel) le 17 septembre 2003 à 12:11. Évalué à 1.
  
  Non, le type demande si un exploit existe, sans donner plus d'infos sur qui fait quoi, ni donner de preuve. Donc, ça ne veut pas dire qu'un exploit circule.
- [^] # Re: Sortie de Open SSH 3.7
  
  Posté par Anonyme le 17 septembre 2003 à 19:09. Évalué à 1.
  
  juste un FUD ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.