news sur les problèmes de OpenSSH

Posté par Victor Vuillard le 02 juillet 2002 à 12:23. Modéré par Manuel Menal.

Étiquettes :

juil.

2002

La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).

Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).

Aller plus loin

L'exploit de Gobbles (6 clics)
La mise à jour de l'advisory (3 clics)

# Euh ...

Posté par ldng le 02 juillet 2002 à 14:01. Évalué à -10.

Elle est où la nouvelle là ?!

Pas de quoi passer en permière page.
- [^] # Re: Euh ...
  
  Posté par Annah C. Hue (site web personnel) le 02 juillet 2002 à 15:54. Évalué à -3.
  
  Il est où le post là ?!
  
  Pas de quoi poster en permière place.
  - [^] # Re: Euh ...
    
    Posté par ldng le 03 juillet 2002 à 13:05. Évalué à 0.
    
    Uh ? C'est en première place parce que c'est tombé comme ça !
    
    Je persiste et je signe. Je pense qu'il n'était pas nécessaire de le passé en première page.
    En effet, le trou de sécurité a été annoncé quelques jours plutôt, ici il n'est question que de la mise à disposition de l'exploit.
    
    Ceux qui se préoccupent sérieusement de sécurité n'auront pas attendu l'annonce sur dlfp.
    
    Tiens, comme je suis bon prince je te donne même un argument contradictoire : oui, mais passez lz news en premièrer page c'est pour ceux qui sont passé a coté de la première annonce et qui n'ont pas mis à jour leur Lin^W OS
    
    O:-)
    
    allez -1 parce qu'on s'en fout
# exploit *BSD

Posté par Victor Vuillard le 02 juillet 2002 à 14:13. Évalué à 10.

Petite note: comme on me l'a gentillement fait remarquer, l'exploit en question n'est pas sensé marcher sous Linux mais il permet déja de voir si la version de OpenSSH utilise skey ou keyboard-interactive...
désolé pour l'imprecision !
# Attention à l'excès d'optimisme..

Posté par Miod in the middle le 02 juillet 2002 à 14:54. Évalué à 10.

J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)

Attention, ils ne sont pas vulnérables à l'exploit publié par Gobbles.

Comme le dit l'advisory, il reste une vulnérabilité dans auth2-pam.c, mais personne ne s'est donné jusqu'à présent la peine de vérifier si elle était exploitable, et de publier un exploit le cas échéant.
- [^] # Re: Attention à l'excès d'optimisme..
  
  Posté par Sebastien le 02 juillet 2002 à 18:37. Évalué à 4.
  
  .. d'autant plus que toutes les distros linux ne s'encombrent pas avec PAM.
  
  Keep slackin' ;-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.