Vous pouvez comparez avec un miroir :
ftp.openbsd.org (infecté) :
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz
ftp.lip6.org (non infecté):
ftp://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz
Aller plus loin
- le mail en question (5 clics)
- Un weblog sur l'animal (8 clics)
- Le shell code (6 clics)
# de mieux en mieux
Posté par kael . Évalué à -4.
pour un logiciel qui contient secure dans le nom c'est tres fort ...
-1 mais bon ca commence a souler a la fin !!!
[^] # Re: de mieux en mieux
Posté par Jean-Yves B. . Évalué à 10.
Ce n'est pas la faute d'OpenSSH (à priori) si le paquet a été compromis mais bien celle de la plateforme d'hébergement.
[^] # Re: de mieux en mieux
Posté par William Steve Applegate (site web personnel) . Évalué à 10.
Petit corollaire : si vous compilez des softs -- tout spécialement des softs « sensibles » -- vérifiez *toujours* les checksums. Toujours. Ça commence à devenir une question de vie ou de mort...
Envoyé depuis mon PDP 11/70
[^] # Re: de mieux en mieux
Posté par Jean-Yves B. . Évalué à 10.
Si crack de machine il y a eu, c'est de machines Solaris, pas OpenBSD.
[^] # Re: de mieux en mieux
Posté par William Steve Applegate (site web personnel) . Évalué à 10.
Envoyé depuis mon PDP 11/70
[^] # Re: de mieux en mieux
Posté par Olivier . Évalué à -2.
-1, c'est vraiment n'importe quoi :)
[^] # Re: de mieux en mieux
Posté par phq . Évalué à -1.
ou alors il faudrait faire un nombre pair de tours : la moitié dans un sens, l'autre moitié dans le sens inverse. On peut même répéter l'opération plusieurs fois, le mieux étant de faire 4 fois 2 tours ou 2 fois 4 tours pour les personnes ayant des long câbles.
Bien entendu, pour les personnes possédant des souris et claviers sans fil, la question ne se pose pas, et il est alors même possible de faire pivoter le périphérique sur lui même, ou autres, les possibilités étant innombrables.
# En regardant de plus prés
Posté par Frederic Ollivier . Évalué à 10.
on retrouve une IP
203.62.158.32
et un port 6667
Il y a meme un site internet de
http://203.62.158.32(...)
un petit resolv donne :
snsonline.net
[^] # Re: En regardant de plus prés
Posté par Manu (site web personnel) . Évalué à -10.
[^] # Re: En regardant de plus prés
Posté par Frederic Ollivier . Évalué à -10.
[^] # Re: En regardant de plus prés
Posté par Charles Plessy (site web personnel) . Évalué à -2.
# Panique
Posté par Vincent GADREAU . Évalué à -4.
Panique a bord...
Comment qu'ils ont fait les enfoirés, ils ont reussi a percer le ftp de openssh.org pour foutre leur trojan? moi j'ai verifié quelques machines et jusque la pas de problemes mais j'ai pas les checkssums pour les fichiers openssh-3.4.tgz . Mon checksum pour ce fichier est 39659226ff5b0d16d0290b21f67c46f2. Dites moi que c'est bon....
[^] # Re: Panique
Posté par kael . Évalué à -3.
-1 et [jesors]
[^] # Re: Panique
Posté par rominet . Évalué à 10.
1008 [13:24] root@roadrunner:security/openssh> less distinfo
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
MD5 (openbsd28_3.4.patch) = 46cfc2332b357e338e421dd456435a65
Cela dit, quel est le "bon" checksum sur une machine qui est peut etre compromise depuis des mois ?
D'autre part les openssh-3.4.tgz ont été deja supprimés des serveurs mais pas les version -portables.
Bref ...
[^] # Re: Panique
Posté par bad sheep (site web personnel) . Évalué à 10.
Le md5 correct est :
459c1d0262e939d6432f193c7a4ba8a8
D'après le fichier du lip6 et le mien (ouf :)
[^] # Re: Panique
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
# et les checksums c pour les chiens??
Posté par p f . Évalué à 10.
Enfin bon quand même la signature était plus vielle d'un mois. ça met la puce a l'oreille.
Moralité: les signatures elles sont pas là que pour faire joli.
Question subsidiare : combien de personnes vérifient les signatures avant d'installler un softs???
[^] # Re: et les checksums c pour les chiens??
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 10.
[^] # Re: et les checksums c pour les chiens??
Posté par p f . Évalué à 10.
Ceci dis, je ne suis pas sur que le tous automatique soit forcément une bonne idée. Si ça se fait automatiquement et sans rien dire a personne, le jour ou y'a un pb l'utilisateur se retrouve comme un con. Tous surpris, et ne comprenant pas.
A mon avis il faudrais mieux qu'il y ai des explications systématiques sur tous les sites de téléchargement (comme c fait sur kernel.org par exemple). Au moins comme ça l'utilisateur est au courant, et c'est à quoi ça correspond. Après libre à lui d'en faire ce qu'il veut.
Perso j'ai pas l'impression que ces info soient très présentes sur les sites, mais bon peut être que je me trompe.
[^] # Re: et les checksums c pour les chiens??
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
OpenBSD n'utilise pas beaucoup GPG par exemple. Or il ne sert à rien de donner une somme MD5 dans un bête fichier : l'intrus peut remplacer l'archive par son archive infectée, et remplacer la somme MD5 de l'archive propre par celle de l'archive infectée.
[^] # Re: et les checksums c pour les chiens??
Posté par Guillaume Morin . Évalué à 10.
Si on veut sécuriser un fichier il faut, comme tu le dis, signer avec GPG, parce que c'est bien deux choses différentes.
[^] # Re: et les checksums c pour les chiens??
Posté par GCN (site web personnel) . Évalué à 4.
[^] # Re: et les checksums c pour les chiens??
Posté par Christophe Merlet (site web personnel) . Évalué à 7.
[^] # gpg ???
Posté par Tutur . Évalué à 9.
Si quelqu'un pouvait m'expliquer comment verifier la signature d'un fichier.
Sachant que pour verifier la signature, il fait recuperer la clef publique, on pourrait imaginer qu'une personne modifie le fichier, le signe avec un paire de clef et mette la clef publique a disposition. Du coup, la signature est correct. Comment etre sure que l'on a bien la bonne clef publique d'une personne, sans rencontrer cette personne et qu'elle nous la donne en main propre?
[^] # Re: gpg ???
Posté par William Steve Applegate (site web personnel) . Évalué à 5.
Je t'aide : c'est écrit en toutes lettres sur [ http://www.keyserver.net/en/info.html#nr3(...) ]. À la rubrique « Certification and Trust », il est écrit « Unless you physically received a key [...] the best way to verify the authenticity of a key is to compare its fingerprint. Call the purported owner of the key you want to verify. Ask him to read you the fingerprint of his Private Key: It has to match that of his Public Key ».
Pas pratique ? Tu n'as pas le numéro du mainteneur ? Eh bien dans ce cas-là, il y a la signature de clés. Par exemple, si je regarde la clé de Martin Schulze (responsable sécurité de Debian) dispo à [ http://search.keyserver.net:11371/pks/lookup?template=netensearch%2(...) ], je m'aperçois que la clé a été signée par une tétrachiée de personnes connues. Je peux donc présumer que c'est la bonne. Ça s'appelle un « réseau de confiance » (Web Of Trust) et c'est difficile à rendre caduc, dans la mesure où, si tu es sûr de la clé identifiant un (ou mieux, plusieurs) de ceux qui ont signé la clé que tu veux vérifier, tu peux raisonnablement faire confiance à celle-ci.
L'alternative c'est les certificats personnels délivrés par des boîtes comme Thawte, où tu peux juste faire une vérification. Désavantage, si les serveurs de la boîte ne sont pas sûrs, tout le système s'écroule et il y aura probablement beaucoup de dégâts avant que quelqu'un se rende compte que les clés ne sont plus les bonnes (c'est ça, le problème de la centralisation). Enfin, c'est mon opinion, hein, mais je trouve le système PGP assez élégant et raisonnablement pratique...
Envoyé depuis mon PDP 11/70
[^] # Re: gpg ???
Posté par cornofulgur . Évalué à 2.
Je raye de ma liste le root du serveur ftp. on ne peut pas lui faire confiance. Je raye aussi tout ceux qui lui ont fait confiance jusque là. Je raye aussi tous ceux qui ont été en contact avec les gens rayés. Et ainsi de suite.
Au final, je décide de couper en petit morceaux mon cable réseau. ;)
Il me semble que dans IRL, on a un système beaucoup plus sain. On ne fait pas confiance à la probité des individus, on fait confiance à la multitude.
Les gens sont faillibles. Mais les méchants sont peu nombreux.
Il est très difficile de s'attaquer à l'urne du bureau de vote car la vigileance est répartie sur la multitude. On fait baisser la pression sur les individus en évitant le plus possible la centralisation.
Autres exemples:
les exécutions aux USA: trois bourreaux pour une seringue efficace.
Système de protection de nolog: trois personnes doivent être réunies pour déverouiller l'accés aux logs.
En pratique, je ne pense donc pas que j'ai envie de reposer sur Martin Schulze, Twate, ou Fabien Penso. Je vais au contraire choisir au hasard deux personnes inconnues (un hurdiste malais et un windozien unijambiste) et leur proposer une association. On s'occupera entre nous de la sécurité de nos machines et on tachera d'être vigileants ensemble, en se méfiant entre nous.
Comment baser de la confiance sur de la méfiance ?
On va avoir besoin de se réunir dans un lieu sûr, sécurisé, audité, clos, déconnecté du monde, franc.
L'association a juste besoin d'un lieu de réunion.
On n'a pas besoin d'information fiable, d'une autorité, d'un reseau, d'un secret, d'un point central. On veut notre local.
Je ne vois pas encore de tels lieux apparaitre. Les first jeudis ne sont qu'une approche.
[^] # Re: et les checksums c pour les chiens??
Posté par Foxy (site web personnel) . Évalué à 10.
Perso, je vérifie toujours les signatures pour mes packages "critiques" : GPG, Apache, OpenSSH, OpenSSL, Bind.
Pour ceux qui utilisent les packages de leur distrib (genre RPM de RedHat ou Madnrake), ils fournissent toujours des checksums MD5 avec. Celui qui ne les utilise pas, doit être crucifié en place publique ;-)
[^] # Re: et les checksums c pour les chiens??
Posté par C2RIK . Évalué à 10.
Il y a quelques temps il y a eu le même problême avec irssi, le tarball était infecté, mais le malotru avait cette fois calculé le MD5 de la merde qu'il allait poser. Dans ce cas, tu téléchargeais une version vérolée, tu vérifiais avec md5... Et "c'est bon j'peux y aller".
Ce qu'il faut véritablement c'est un système type GPG pour prévenir ce genre de daubes.
[^] # Re: et les checksums c pour les chiens??
Posté par Vincent GADREAU . Évalué à 10.
[^] # Re: et les checksums c pour les chiens??
Posté par C2RIK . Évalué à 9.
Le problème est que la version dans /usr/src/crypto que tu cvsup de freebsd.org est vérolée, dans ce cas y'a pas eu de checksum...
Chez freebsd ils ont pas vérifié le md5 avant de l'inclure dans les sources ! Oh les vilains ;)
[^] # Re: et les checksums c pour les chiens??
Posté par Alexandre T. . Évalué à -5.
A+
-1 pcq parano
[^] # Re: et les checksums c pour les chiens??
Posté par William Steve Applegate (site web personnel) . Évalué à -1.
[ -1, incitation à l'usage de stupéfiants ]
Envoyé depuis mon PDP 11/70
# Pffff, openssh ça craint trop niveau sécu...
Posté par kadreg . Évalué à 10.
[^] # Re: Pffff, openssh ça craint trop niveau sécu...
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
# heu... j'ai pas bien compris le weblog
Posté par BeN . Évalué à 1.
Il ouvre juste une connexion sur une machine ??
[^] # Re: heu... j'ai pas bien compris le weblog
Posté par rominet . Évalué à 10.
Un reverse telnet quoi ...
C'est le meme genre de chose que pour le trojan irssi
[^] # Re: heu... j'ai pas bien compris le weblog
Posté par Wawet76 (site web personnel) . Évalué à 10.
[^] # Re: heu... j'ai pas bien compris le weblog
Posté par kael . Évalué à 6.
[^] # Re: heu... j'ai pas bien compris le weblog
Posté par C2RIK . Évalué à 6.
Le truc c'est que ça ouvrait un shell avec les droits de l'utilisateur lançant make. Si c'était root, ils ont pu installer tous les rootkits du monde, lancer un démon ftp pour se faire un dump warez, un démon irc pour dire des trucs que la morale réprouve sans se faire coincer, etc.
# OpenSSH Security Advisory
Posté par falbala . Évalué à 10.
"Systèmes infectés :
OpenSSH version 3.2.2p1, 3.4p1 et 3.4 sont infectés sur le FTP d'OpenBSD et probablement d'autres miroirs ... L'infection a eu lieu entre le 30 et 31 juillet ...
Impact :
...(les systèmes avec OpenSSH installé entre ces deux dates sont foutus) ...
Solution :
...Vérifiez vos MD5 :
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a
"
Le plus drôle (enfin, si c'est drôle) c'est que le demime sur les dites listes a viré son pgp-signature ;-)
# Ne pas compiler en root :
Posté par Charles Plessy (site web personnel) . Évalué à 10.
Ben voilà maintenant je comprends pourquoi...
[^] # Re: Ne pas compiler en root :
Posté par Nicolas Peninguy (site web personnel) . Évalué à -1.
[^] # Re: Ne pas compiler en root :
Posté par domi . Évalué à 1.
Si le "make install" se fait en mode utilisateur, n'importe qui pourrait installer ce qu'il veut dans /usr/local/bin !
Regarde dans ton $PATH ... Je viens de vérifier sur une Mandrake 8.1 et une Slack 8.0 : /usr/local/bin (l'emplacement d'installation par défaut d'openssh) est placé avant /bin et /usr/bin !!!
On parlait bien de sécurité, non ? :-)
[^] # Re: Ne pas compiler en root :
Posté par PLuG . Évalué à 5.
du coup tu peux compiler et installer sans etre root, tu peux aussi autoriser quelques users a utiliser le soft en leur affectant le groupe "oracle".
[^] # Re: Ne pas compiler en root :
Posté par Adrien BEAUCREUX . Évalué à 2.
Ils vont mème jusquà dire "No other directories, except those listed below, may be in /usr/local after first installing a FHS-compliant system."
Au passage, le "More control and package management using package users hint" (
http://hints.linuxfromscratch.org/hints.shtml(...) , l'index des hints, le lien complet ne veut pas passer.)
donne des scripts pour automatiser les install avec utilisateur dédié.
[^] # Re: Ne pas compiler en root :
Posté par Guillaume ARTUS . Évalué à 3.
En admettant que la machine est securisee, personne sauf root ne peut ecrire dans /usr/local/
Or mettre /usr/local avant le reste dans le $PATH permet au root de changer les versions des programmes, sans pour autand flinguer les paquets:
Programme XYZ installe dans /usr/bin, on decouvre un probleme, vite on compile une version 'temporaire' a la main dans /usr/local ,les users utilisent cette version directement, sans s'en rendre compte... quand le paquet corrige sort, on l'installe et on degage la version temporaire de /usr/local...
La correction est transparente pour les utilisateurs... et c'est securise
Dans le meme genre d'idee ~/bin est generalement placer en premier dans le $PATH, comme ca un utilisateur qui veut une version differente d'un programme installe dans /usr/, peut le compiler chez lui et sera utilise automatiquement...
Pour ceux qui suive la mailling debian-user-french, il y a eu une discution (qui a dit un troll?) sur le fait que vi etait present dans /bin et /usr/bin , c'est le meme principe:
dans /usr/bin une version 'complete' a utiliser tous les jours avec plein de dependances dans /usr et dans /bin une version de secours avec moins de dependance (en tous cas aucune dans /usr ) pour les jours ou la partoche /usr est dans les choux.
[^] # Utilisez GNU Stow
Posté par François B. . Évalué à 4.
De plus, afin de faciliter l'installation et la suppression de programmes externes à la distribution, il existe un outil très pratique : GNU Stow [http://www.gnu.org/software/stow/(...)]. Pour l'utiliser, on a un répertoire /usr/local/stow dans lequel on crée un répertoire par application que l'on installe à la main. Lorsqu'on compile un soft qui utilise autoconf, il suffit de passer --prefix=/usr/local/stow/mon-soft à ./configure. Une fois le make install réalisé (avec un utilisateur qui a le droit d'écrire dans /usr/local/stow, pas forcément root), il suffit de faire "stow mon-soft" pour créer des liens symboliques depuis le répertoire mon-soft vers les répertoires adaptés dans /usr/local.
Ensuite, si vous voullez enlever un soft, il suffit de faire "stow --delete mon-soft" et de supprimer le répertoire (on n'est pas obligé de le faire dans l'ordre là).
Avantages de stow :
- on n'est pas obligé d'être root et on garde une bonne sécurité (à mon avis) ;
- on peut désinstaller facilement un soft ;
- on évite d'écraser par erreur des fichiers déjà existants : stow prévient lors d'un conflit.
[^] # Re: Utilisez GNU Stow
Posté par Vincent Danjean . Évalué à 2.
configure --prefix=/usr/local
make
make install prefix=/usr/local/stow/mon-soft/
Comme ça, si le soft utilise 'prefix' (dans des fichiers d'exemple de config pour l'utilisateur par exemple), on ne voit pas stow/mon-soft/.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.