[openssh] Nieuwe ssh exploits *UPDATEN!!*

sphere2 schreef op 16 september 2003 @ 13:37:
http://groups.google.com/...2maa0%40ifi.uio.no&rnum=3

moet nu naar college, zal kijken of ik straks meer info kan vinden.

igmar schreef op 16 September 2003 @ 17:47:
[...]


Het betreft een remote-root hole in sshd < 3.7, vooropgesteld dat je geen privilege seperation draaid.
De exploit is al beschikbaar, dus ASAP patches.

Tony Vroon schreef op 16 September 2003 @ 19:12:
Gentoo heeft 'm zojuist toegevoegd:

*openssh-3.7_p1 (16 Sep 2003)

16 Sep 2003; Mike Frysinger <vapier@gentoo.org> :
Version bump to fix #28873 ... selinux needs to be caught up though .
Marked stable due to nature of release (security).

Verwijderd schreef op 16 September 2003 @ 20:39:
Verder heb ik in de patch geen verschillen kunnen ontdekken. Ok er wordt een nieuwe unsigned int newlen aangemaakt, maar de struct member alloc was ook al een unsigned int (gedefineerd in buffer.h). Nou ben ik geen C goeroe, dus als iemand wel ziet wat er aan de hand is dan hoor ik het graag.

[ Voor 21% gewijzigd door Verwijderd op 16-09-2003 21:06 ]

Verwijderd schreef op 16 September 2003 @ 21:04:
Ik kan toch redelijk goed C coden, maar ik zie ook geen issue, tenminste, niet vanuit de scope in de patch... Ik snap er dan ook geen hout van... .

[edit]
Najah, kijk, als die allocation fout gaat, dan wordt buffer->alloc dus niet geupdate, waarschijnlijk zit daar de issue. Maar ik weet niet wat fatal() doet, 't lijkt me dat die het programma of in elk geval de buffer uitschakelt... . Nogmaals, ik snap de patch nog niet... .

Verwijderd schreef op 16 September 2003 @ 21:08:
Welke buffer allocation bedoel je? Die xrealloc? Voor de rest wordt or namelijk geen buffer allocation gedaan. buffer->alloc is een struct variabele.

Verwijderd schreef op 16 September 2003 @ 21:08:
Dan ben je dus niet de enige. Ik kwam er ook al niet uit.

CERT heeft het erover dat er mogelijk teveel gealloceerd geheugen op de heap wordt vrijgegeven:

This vulnerability appears to occur due to some buffer management errors. Specifically, this is an issue with freeing the appropriate memory size on the heap. In certain case the memory cleared is too large and might cause heap corruption.

Ik heb er vanmiddag al met een paar andere mensen kort naar zitten kijken, maar niemand zag het probleem. Hoewel er kleine verschillen in de code zitten is het netto resultaat volgens mij hetzelfde.

Verwijderd schreef op 16 september 2003 @ 22:50:
Ik heb uit goede bron vernomen dat Privilege Seperation en PermitRootLogin settings hier geen vat op hebben, de sshd blijft sowieso vulnerable. Dit is de nieuwe killer sinds x2 LOL (voor mensen bekend met "l33t 0day" ) Theo zal de frontpage van z'n website weer moeten veranderen... Komt ervan als heel je theorie baseert op het stoppen van ÉÉN enkel soort vulnerability (nl buffer overflows) en een groot deel van de rest over het hoofd ziet.

III. Impact

A remote attacker can cause OpenSSH to crash. The bug is not believed
to be exploitable for code execution on FreeBSD.

sphere2 schreef op 17 September 2003 @ 00:37:
[...]

Tsk, heb ik me braaf gehouden aan de regels en een beschaafde titel gekozen, prak jij er ff neonverlichting in

[ Voor 8% gewijzigd door Wilke op 17-09-2003 01:13 ]

[ Voor 26% gewijzigd door Leon op 17-09-2003 18:11 ]

Verwijderd schreef op 16 september 2003 @ 22:50:
Ik heb uit goede bron vernomen dat Privilege Seperation en PermitRootLogin settings hier geen vat op hebben, de sshd blijft sowieso vulnerable. Dit is de nieuwe killer sinds x2 LOL (voor mensen bekend met "l33t 0day" ) Theo zal de frontpage van z'n website weer moeten veranderen... Komt ervan als heel je theorie baseert op het stoppen van ÉÉN enkel soort vulnerability (nl buffer overflows) en een groot deel van de rest over het hoofd ziet.

[ Voor 14% gewijzigd door Verwijderd op 17-09-2003 09:12 ]

Leon schreef op 17 september 2003 @ 01:15:
Even de Bugtraq postings op een rijtje :

Slackware

Updated package for Slackware 8.1:
ftp://ftp.slackware.com/p.../openssh-3.7p1-i386-1.tgz

edit:

nu was die wel te downen
gepatched iig

[ Voor 7% gewijzigd door Erkens op 17-09-2003 17:13 ]

[ Voor 48% gewijzigd door RvdH op 17-09-2003 09:30 ]

[ Voor 42% gewijzigd door DDX op 17-09-2003 09:50 ]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

hda: read_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
hda: read_intr: error=0x40 { UncorrectableError }, LBAsect=146127, sector=146064
end_request: I/O error, dev 03:01 (hda), sector 146064
vs-13070: reiserfs_read_inode2: i/o failure occurred trying to find stat data of
 [19281 19990 0x0 SD]
hda: read_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
hda: read_intr: error=0x40 { UncorrectableError }, LBAsect=146127, sector=146064
end_request: I/O error, dev 03:01 (hda), sector 146064
vs-13070: reiserfs_read_inode2: i/o failure occurred trying to find stat data of
 [19281 19288 0x0 SD]
hda: read_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
hda: read_intr: error=0x40 { UncorrectableError }, LBAsect=146127, sector=146064
end_request: I/O error, dev 03:01 (hda), sector 146064
vs-13070: reiserfs_read_inode2: i/o failure occurred trying to find stat data of 
[19281 19282 0x0 SD]
hda: read_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
hda: read_intr: error=0x40 { UncorrectableError }, LBAsect=146127, sector=146064
end_request: I/O error, dev 03:01 (hda), sector 146064
vs-13070: reiserfs_read_inode2: i/o failure occurred trying to find stat data of
 [19281 19283 0x0 SD]

[ Voor 2% gewijzigd door el_salvador op 17-09-2003 10:21 . Reden: layout ont-verneukt ]

1

SSH-2.0-3.2.5 SSH Secure Shell (non-commercial)

[ Voor 4% gewijzigd door aKra op 17-09-2003 18:41 ]

sphere2 schreef op 17 September 2003 @ 18:28:
ATTENTIE: NA DE EERSTE EXPLOIT IN DE STARTPOST, WAS ER EEN TWEEDE EN NU OOK EEN DERDE! STUG BLIJVEN UPDATEN

aKra schreef op 17 september 2003 @ 18:30:

code:

1	SSH-2.0-3.2.5 SSH Secure Shell (non-commercial)

Is toch niet vulnerable?

CyBeR schreef op 17 september 2003 @ 18:43:
[...]


de niet-open ssh heeft weer een hele zooi andere exploitable bugs

[ Voor 31% gewijzigd door T-Blizzard op 17-09-2003 18:48 ]

aKra schreef op 17 September 2003 @ 18:47:
[...]


Ja, dat zal best, maar elke daemon heeft wel wat... Tot nu toe komen ze alleen echt uit voor OpenSSH .

Wat ik erger vind, als ik OpenSSH installeer kan ik geen SSH connectie openen, op elk account is het password verkeer

[ Voor 25% gewijzigd door aKra op 17-09-2003 18:52 ]

(Wat zijn nou eigenlijk de extra's van OpenSSH tegenover SSH?)

"On the footsteps of openssh, Sendmail 8.12.10 has just been released due to a buffer overflow in address parsing. Sendmail states this is potentially remotely exploitable. No updates on the Sendmail site yet, but the FTP site has the release notes."

[ Voor 5% gewijzigd door Verwijderd op 17-09-2003 20:21 ]

[slackware-security] OpenSSH updated again (SSA:2003-260-01)

Upgraded OpenSSH 3.7.1p1 packages are available for Slackware
8.1, 9.0 and -current. These fix additional buffer management
errors that were not corrected in the recent 3.7p1 release.
The possibility exists that these errors could allow a remote
exploit, so we recommend all sites running OpenSSH upgrade to
the new OpenSSH package immediately.

[ Voor 4% gewijzigd door Mior op 17-09-2003 21:22 ]

imdos schreef op 17 September 2003 @ 19:35:
[...]


Meer bugs

En het is een open protocol en dus door iedereen te bezichtigen

Phantom schreef op 17 september 2003 @ 21:10:
Ik kreeg net een mailtje van het Slackware Security Team:


[...]


Weer updaten

edit: aw, was al gepost zie ik.

[ Voor 56% gewijzigd door aKra op 17-09-2003 21:26 ]

Phantom schreef op 17 September 2003 @ 22:20:
Mijn post ging over openssh hoor, niet over sendmail

Erkens schreef op 17 September 2003 @ 22:23:
[...]

ehm, betekend dat dat ik weer opnieuw openssh moet patchen

[ Voor 6% gewijzigd door Jaap-Jan op 17-09-2003 22:26 ]

Phantom schreef op 17 September 2003 @ 22:24:
Als je versie 3.7.1p1 nog niet hebt wel ja.

According to an OpenSSH [1] Security Advisory [0], 2nd revision, all versions of OpenSSH's sshd(8) prior to version 3.7.1 contain buffer management errors. The discovery of additional similar errors by Solar Designer show that version 3.7.1 is affected, too.

[ Voor 3% gewijzigd door HunterPro op 17-09-2003 23:45 ]

Erkens schreef op 17 September 2003 @ 22:26:
[...]

nee ok, ik dacht dat die patch dus niet goed was
maar mijn slackware bakken zijn dus wel gepatched (en gelijk maar even van de gelegenheid gebruik gemaakt om PermitRootLogon uit te zetten )

HunterPro schreef op 17 September 2003 @ 23:39:
Ehm heren...


[...]

bron

met andere woorden: er zit nóg een gat in?

[ Voor 9% gewijzigd door Leon op 18-09-2003 00:42 ]

Leon schreef op 18 September 2003 @ 00:42:
Kun je niet gewoon naar een computer die geupdate moet worden, ssh'en. ssh updaten, en dan sshd restarten

afaik verwijderd linux bestanden pas als ze niet meer gebruikt worden.

[ Voor 33% gewijzigd door FCA op 18-09-2003 01:32 ]

rlensen schreef op 18 September 2003 @ 01:49:
Je kunt toch gewoon ssh herstarten zonder de huidige ssh te stoppen.
#kill -HUP `cat /var/run/sshd.pid`
probeer nieuwe connectie te maken met server, werkt het, dan is alles ok en dien je de huidige ssh sessie af te sluiten. Dit werkt hier onder OpenBSD en FreeBSD oerfect.

DDX schreef op 18 September 2003 @ 07:48:
...
gelukkig draaide op die bak ook telnet

BoAC schreef op 18 september 2003 @ 09:40:
[...]

Wat is dan het nut van ssh
Herstart van sshd tijdens een ssh-sessie ging hier ook perfect dus ..

DDX schreef op 18 September 2003 @ 09:58:
maar met telnet server draaien is opzich toch niks mis ?

Phantom schreef op 18 september 2003 @ 10:01:
[...]

Behalve dan dat je wachtwoorden enzo un-encrypted over de lijn vliegen

Verwijderd schreef op 18 September 2003 @ 00:15:
[...]



Sorry dat ik het zeg, maar iemand die slackware "bakken" heeft, mag toch wel van te voren over dit soort dingen nadenken en zo veel mogelijk aan veiligheid doen.

Erkens schreef op 18 September 2003 @ 10:06:
Overigens logde ik gewoon altijd in als root als dat nodig was, een wachtwoord is een wachtwoord, of die nu van een user root is of van een ander.

[ Voor 58% gewijzigd door Mior op 18-09-2003 10:13 ]

[ Voor 24% gewijzigd door Verwijderd op 18-09-2003 10:14 ]

Phantom schreef op 18 september 2003 @ 10:07:
Ooit van 'brute force cracking' gehoord? User 'root' is een acccount die _altijd_ op een linux server bestaat. Een cracker weet dus waar hij moet beginnen. Als je root login uitzet, en inlogt via een username wordt dat al een stuk moeilijker.

[ Voor 7% gewijzigd door Erkens op 18-09-2003 10:50 ]

Phantom schreef op 18 September 2003 @ 11:15:
Tja

_{(Security Through Obscurity)}

(aangezien ik eik niet in NOS mag komen van moto-moi )

Leon schreef op 17 september 2003 @ 01:15:

edit:

Ik vraag me trouwens wel af of er echt een exploit voor zou zijn, er zijn geruchten. Maar daar heb je niet zo veel aan behalve dat ze paniek zaaien.

Phantom schreef op 18 September 2003 @ 10:07:
Ooit van 'brute force cracking' gehoord? User 'root' is een acccount die _altijd_ op een linux server bestaat. Een cracker weet dus waar hij moet beginnen. Als je root login uitzet, en inlogt via een username wordt dat al een stuk moeilijker.

DDX schreef op 18 September 2003 @ 11:30:
heet jouw root account dan nog root ?

DDX schreef op 18 September 2003 @ 11:30:
[...]

offtopic:
heet jouw root account dan nog root ?
(hier wel trouwens, maar admin user op windows heet geen admin meer)

* _JGC_ hollen naar serverhok

Erkens schreef op 18 september 2003 @ 10:06:
[...]

ehm, is slackware dan veel onveiliger dan andere distro's?
Dat je juist BIJ slackware om veiligheid moet denken

Daarnaast zijn dit gewoon mijn servertjes thuis aan een chello lijntje. En de gemiddelde scriptkiddie die langskomt kan er niets mee

Overigens logde ik gewoon altijd in als root als dat nodig was, een wachtwoord is een wachtwoord, of die nu van een user root is of van een ander. Maar dat is hier totaal offtopic, het ging hier om ssh die gepatched moest worden. En dat heb ik gewoon gedaan, ik zie je probleem niet?

ucchan schreef op 18 september 2003 @ 18:42:
hmmmmz..... nog steeds geen update voor debian testing...

* DDX begint zich zorgen te maken met 3.6.1p2-3

DDX schreef op 18 September 2003 @ 19:54:
[...]


waarom compile je dan niet zelf 3.7.1 ?

DDX schreef op 18 September 2003 @ 19:54:
[...]


waarom compile je dan niet zelf 3.7.1 ?

ook zo weird trouwens dat redhat enzo 3.4 patchen steeds
waarom niet gewoon 3.7.1
en nou niet aankomen met 100% tested, dat zijn die patches ook niet die redhat er steeds bij gooit

ucchan schreef op 18 September 2003 @ 18:42:
hmmmmz..... nog steeds geen update voor debian testing...

* Johannes begint zich zorgen te maken met 3.6.1p2-3

ucchan schreef op 18 september 2003 @ 18:42:
hmmmmz..... nog steeds geen update voor debian testing...

* terabyte begint zich zorgen te maken met 3.6.1p2-3

Phantom schreef op 18 September 2003 @ 10:01:
[...]

Behalve dan dat je wachtwoorden enzo un-encrypted over de lijn vliegen

ucchan schreef op 18 september 2003 @ 20:42:
okay, hoe zorg ik er nu voor dat de ssh van sarge niet teruggezet wordt ? ik wil wel andere dingen kunnen updaten natuurlijk !

Bor_de_Wollef schreef op 18 September 2003 @ 11:24:
[...]


De eploit is er, en ik hoorde dat ie vanavond nog beschikbaar wordt voor het grote publiek. Hou packetstorm in de gaten.

[ Voor 12% gewijzigd door Verwijderd op 23-09-2003 22:28 ]