Encore Bind ? Sendmail ? Squid ?
Et bien non, OpenSSH... :-(
Les détails sur la faille ne sont pas encore connus mais on sait d'ors et déjà de la bouche de Théo de Raadt lui-même qu'elle sera exploitable à distance, sauf si la séparation de privilège récemment apparue est activée (« UsePrivilegeSeparation yes » dans sshd_config). Peu de distributions Linux proposent cette option pour le moment mais j'espère sincèrement qu'ils vont tous s'atteler pour que ce soit le cas avant la semaine prochaine, date fatidique à laquelle seront dévoilés les détails de l'exploit (et je pense qu'un exploit pas forcèment de Gobbles ne tardera pas à suivre...)
Plus de détails sur LinuxSecurity.com
Note d'un autre modérateur : voir sur debianplanet.org la source apt Debian pour avoir les paquets ssh et apache corrigés pour Woody, ainsi que Mozilla 1.0
Aller plus loin
- Dépêche sur LinuxSecurity (9 clics)
- Le site OpenSSH (13 clics)
- Infos pour la Debian Woody (6 clics)
# Euh, y a un trou là...
Posté par Jerome Herman . Évalué à 10.
http://www.openbsd.org/errata.html(...)
Traduction :
Un bug non (encore) rendu public existe dans OpenSSH pour lequel aucun patch n'est prévu -- aucun pacth n'existe pour l'instant!
Néamoins une mise à jour vers OpenSSH 3.3 avec l'option UsePrivilegeSeparation activée permet de bloquer cette faille.
Il est conseillé à tous les utilisatuers de mettre à jour immédiatement, et de garder un oeuil sur la sortie de OpenSSH 3.4 qui aura lieu lundi et qui contiendra une vrai correction de cette faille.
Trois mondes s'effondrent :
1°) Il va falloir mettre à jour des BSD, comme dans "c'est obligatoire", "ca vaut mieux", "on prend des risques sinon"
2°) J'ignore si la faille existe dans le SSH propriétaire, mais si ce n'est pas le cas ca risque d'avoir des conséquences désastreuses sur certains newsgroups et forums.
3°) OpenBSD est fourni de base avec OpenSSH, donc les versions "anciennes" avaient ce trou de sécurité. Donc il y a un trou de sécurité dans l'installation par défaut d'OpenBSD, on a juste mis 5 ans à le trouver.
Ceci étant c'est le deuxième exploit d'OpenSSH en un mois (un autre impliquait l'utilisation d'YP avec Netgroup dans la base des mots de passes). C'est pas bon pour ma paranoia ca :).
Kha
---
OpenBSD Power quand même na!
[^] # Re: Euh, y a un trou là...
Posté par Éric (site web personnel) . Évalué à 10.
3°) OpenBSD est fourni de base avec OpenSSH, donc les versions "anciennes" avaient ce trou de sécurité. Donc il y a un trou de sécurité dans l'installation par défaut d'OpenBSD, on a juste mis 5 ans à le trouver.
Je rappelle qu'il y a le bug apache aussi, qui a finalement été exploité sur les *nix 32 bits. Et qui permet en exploitant d'autres pb de prendre le root.
[^] # Re: Euh, y a un trou là...
Posté par Jerome Herman . Évalué à 8.
Kha
---
Paranoia Complex.
[^] # Re: Euh, y a un trou là...
Posté par Miod in the middle . Évalué à 10.
Par contre, sshd l'est, et effectivement les cinq ans tomberont à la publication de la vulnérabilité.
[^] # Re: Euh, y a un trou là...
Posté par earxtacy . Évalué à 9.
on aurait été confiant dans openssh ..
et on aurait bien eu l'air ***
s'en donc finis des 5 ans sans trou à distance !
le compteur va t'il rester bloqué a 5 ?
qd j'ai reçu le sms cette nuit sur le "trou"
j'ai été bien vert et surpris, déja apache :(
[^] # Re: Euh, y a un trou là...
Posté par Annah C. Hue (site web personnel) . Évalué à 0.
Merci
-1
[^] # Re: Euh, y a un trou là...
Posté par Jylam / jylam.lnxsce (site web personnel) . Évalué à 0.
[^] # Re: Euh, y a un trou là...
Posté par Victor Vuillard . Évalué à 10.
Ils sont en train de bosser sur une version de ssh qui résoud le problème mais n'ont pas encore fini !
Et en attendant ils préviennent que la séparation de privilèges de OpenSSH ne permet pas de choper un root direct qd l'exploit sortira (officiellement parce qu'apparemment certains sont deja en train de s'en donner a coeur joie...).
La version corrigée de OpenSSH est prévue pour la semaine prochaine.
[^] # Re: Euh, y a un trou là...
Posté par Jerome Herman . Évalué à 4.
la version originale dit bien :
An (as yet) undisclosed bug exists in OpenSSH which a patch is not forthcoming for yet -- no patch exists yet!
Il est plus que probable que la nouvelle version risque d'entrainer des reconfigs, et peut être même un réaudit complet pour les systèmes "sensibles". Rien à voir avec l'installation d'un patch ou l'on sait que le mode de fonctionnment n'a pas bougé et que l'on peut garder les mêmes fichiers de configs et la même architecture de sécurité.
Kha
---
Un brin pinailleur aujourd'hui
[^] # Re: Euh, y a un trou là...
Posté par Victor Vuillard . Évalué à 2.
Je trouve normale qu'ils résolvent deja le problème sur la version courante puis qu'ils patchent les versions precedentes...
chaque chose en son temps !
[^] # Re: Euh, y a un trou là...
Posté par Miod in the middle . Évalué à 10.
Ce qui est intéressant, c'est que, juste après le précédent problème dans OpenSSH, les développeurs ont mené une réflexion sur comment empêcher une faille future de profiter des privilèges de sshd, et c'est pourquoi privsep a été développé.
Savoir que la première faille trouvée après l'introduction de privsep n'est pas utilisable si privsep est activé prouve que privsep est plus qu'un concept académique...
# Séparation des privilèges
Posté par Frédéric Vivien . Évalué à 10.
Quelqu'un qui va enfin pouvoir comencer à bosser après avoir mis à jour une dizaine de machines :-(
# \o/ ouéééé
Posté par kael . Évalué à -10.
bon au final je vais peut etre repasser a la gentoo parceque sur la lfs, recompiler tout les trois jours apache ou ssh ca commence a etre lourd!!!
allez hop emerge openssh
-1 car ma vie
# Réponse chez Debian
Posté par François B. . Évalué à 10.
En effet, il semblerait que même si ISS a changé de méthode (hum ...), ça reste caché ... De plus, la nouvelle version ne corrige pas le problème, mais ne permet la compromission que d'un compte non privilégié. Cela ouvre donc la porte à l'utilisation de tout escalation de privilège ou tout exploit local !
De plus, vu le peu de temps donné, ainsi que le manque d'informations sur la faille font qu'aucun paquet corrigé n'est disponible pour la potato. De même, la version pour la woody n'a pas été testée par l'équipe QA et peut donc tout casser, en plus de ne pas être totalement fonctionnelle (compression indisponible sur certains systèmes, PAM indisponible) !
Bien sûr, il ne faut pas critiquer quelqu'un qui divulgue une faille de sécurité sur un LL, mais là je trouve qu'ils poussent le bouchon un peu trop loin. D'abord l'affaire apache, maintenant openSSH, je commence vraiment à apprécier de moins en moins ISS ...
[^] # Re: Réponse chez Debian
Posté par Remi Cellier . Évalué à 10.
Par contre c'est vrai que c'est vrai qu'on a pas l'habitude de voir des process sshd apartenant à des utilisateurs.
[^] # Re: Réponse chez Debian
Posté par Toufou (site web personnel) . Évalué à 10.
Bah c'est cool, ils bossent indirectement pour améliorer les LL, on va pas leur en vouloir parce qu'ils leur cherchent la petite bête... Dans l'ensemble, ils effectuent quand même une bonne partie du boulot en découvrant la faille et en l'annonçant, même s'ils ne fournissent ni patches ni informations complètes. Après tout, ce n'est peut-être pas leur boulot de sécuriser les logiciels.
Ce qu'il faut voir c'est qu'au final, on a des LL plus sécurisés et tout le monde en profite, ce qui ne serait pas le cas avec des softs proprios.
[^] # Re: Réponse chez Debian
Posté par François B. . Évalué à 8.
Si ce n'est pas du foutage de gueule, alors défoulez vous avec le [-], mais je ne suis pas de cet avis ...
[^] # Re: Réponse chez Debian
Posté par Benoît Sibaud (site web personnel) . Évalué à 9.
> Date: Mon, 24 Jun 2002 15:00:10 -0600
> From: Theo de Raadt <deraadt@cvs.openbsd.org>
> Subject: Upcoming OpenSSH vulnerability
> To: bugtraq@securityfocus.com
> Cc: announce@openbsd.org
> Cc: dsi@iss.net
> Cc: misc@openbsd.org
La suite ici :
http://lists.debian.org/debian-security/2002/debian-security-200206(...)
[^] # Re: Réponse chez Debian
Posté par Éric (site web personnel) . Évalué à 10.
Enfin c'est ton choix mais le conseil de passer à la version plus sécurisé est AMHA un bon conseil.
Si vraiment tu trouves que ce n'est pas fonctionnel alors tu fermes le service en attendant mieux.
Apres en effet peut etre qu'ils auraient du l'annoncer plus tard (je le pense) et autrement (ca c'est sur) mais bon, je préfère que ca soit connu de tous (et de moi aussi) plutot qu'il y ai une communauté restreinte au courant qui a pouvoir sur tous mes serveurs (pour peu que ca se diffuse un peu dans les communautés de méchants avant que ca passe dans les alertes de sécu ca peut faire tres mal).
[^] # Re: Réponse chez Debian
Posté par Miod in the middle . Évalué à 10.
Une faille dans OpenSSH (et peut-être d'autres implémentations) a été trouvée. Bon. ISS aurait très bien pu contacter l'équipe d'OpenSSH en disant «voilà les gars, vous avez tel trou, on le publie, avec un exploit, dans 48 heures». Or, ils ne l'ont pas fait.
A la place, la publication de la faille est reportée afin que les gens aient la possibilité de mettre à jour leur OpenSSH, non pas pour corriger le bug (puisque la disponibilité de la correction permettrait à tout un chacun de cuisiner un exploit dans son coin), mais pour le rendre inopérant grâce à privsep.
Dans un monde parfait, tous les vendeurs auraient fourni des mises à jour d'OpenSSH lundi au plus tard, et la faille aurait été publiée mercredi - c'est ce qui avait été négocié. Comme les vendeurs font de la résistance parce que la faille n'a pas été publiée sur le thème de «j'y croirai quand je me prendrai un exploit dans la figure», il a fallu faire un peu plus de bruit autour de ce problème, et laisser plus de temps avant la publication.
Dans tout ça, que peux-tu reprocher à ISS? Leur attitude est très correcte jusqu'à présent.
[^] # Re: Réponse chez Debian
Posté par Dugland Bob . Évalué à 0.
# man ssh / UsePrivilegeSeparation
Posté par Marc Quinton . Évalué à 10.
# man sshd / UsePrivilegeSeparation
UsePrivilegeSeparation
Specifies whether sshd separates privileges by creating an un-
privileged child process to deal with incoming network traffic.
After successful authentication, another process will be created
that has the privilege of the authenticated user. The goal of
privilege separation is to prevent privilege escalation by con-
taining any corruption within the unprivileged processes. The
default is ``yes''.
vous avez bien lu, default is "yes" ...
[^] # Re: man ssh / UsePrivilegeSeparation
Posté par Victor Vuillard . Évalué à 9.
[^] # Re: man ssh / UsePrivilegeSeparation
Posté par Olivier . Évalué à 6.
cette option n'est pas disponible sur toutes les versions de ssh.
Oui, c'est justement pour ça qu'on demande à tout le monde de passer en OpenSSH 3.3, car c'est justement cette version qui introduit cette option !
[^] # Re: man ssh / UsePrivilegeSeparation
Posté par Miod in the middle . Évalué à 8.
Non, privsep est plus ancien, mais un gros effort (à cause de l'existence de cette faille) a été fait afin que privsep soit disponibles sur plus de systèmes dans la version portable d'OpenSSH.
Par contre, à partir d'OpenSSH 3.3, privsep est activé par défaut, ce qui n'était pas le cas avant.
Un système OpenBSD 3.1 (donc sous OpenSSH 3.2) dont la configuration du sshd a été modifiée afin d'activer privsep, n'est pas plus vulnérable qu'un OpenSSH 3.3.
[^] # Re: man ssh / UsePrivilegeSeparation
Posté par Frédéric VANNIERE (site web personnel) . Évalué à 1.
Il semble que il est quand meme possible d'utiliser la faille de sécurité avec la séparation des privilèges de la version 3.3
</a vérifier>
Le mieux est d'attendre la version patchée lundi.
[^] # Re: man ssh / UsePrivilegeSeparation
Posté par Miod in the middle . Évalué à 1.
Si on pousse tout le monde à passer à privsep, c'est justement parce que privsep permet de rendre la vulnérabilité inutilisable.
Elle reste présente, mais ses effets sont suffisamments limités pour qu'elle ne puisse servir à rien.
# Boooohhh
Posté par j . Évalué à 4.
C'est d'autant plus flippant que ces failles sont presentes depuis tres longtemps et viennent seulement d'etre connues.
Bah apres tout, ca va encourager tout le monde a employer systematiquement des outils comme Lids, GrSecurity et Systrace pour limiter la casse.
[^] # Re: Boooohhh
Posté par Jar Jar Binks (site web personnel) . Évalué à 4.
[^] # Re: Boooohhh
Posté par spim . Évalué à 0.
Il n'y a pas de quoi ricaner. Ces failles ont toutes été corrigées extrêmement rapidement, et on ne peut pas en dire autant des failles d'IIS, par exemple...
Ou encore de celles de MSIE dont certaines commencent reellement a dater :)
# OpenSSH 3.4 est dans les bacs
Posté par syntaxerror . Évalué à 2.
arrivé sur http://www.openssh.com(...)
Les advisories, chez OpenSSH: http://www.openssh.com/txt/preauth.adv(...)
celui de ISS: http://www.openssh.com/txt/iss.adv(...)
La vulnérabilité chez Bugtraq: http://online.securityfocus.com/bid/5093(...)
et non, il n'y a pas d'exploit publié ...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.