Sida 1 av 1
openSSH <5.1 liten säkerhetsbugg
Postat: 22 maj 2009, 18:40
av Dencrypt
För er som dagligen läser
slashdot så har ni säkert inte undgått att det har uppmärksammats en liten mindre bugg i openSSH i version 5.1 och lägre. Detta är visserligen en long-shot-bug och det krävs enormt jobb bakom för att kunna utnyttja den som hacker. Men paranoid som jag är och med ett gäng foliehattar i hatthyllan så kan jag inte låta även en sådan sak undgå att bli åtgärdad.
Så jag gjorde ett litet script för den som vill använda det.
Kort instruktion: Spara scriptet som vad du vill. (*.sh) Gör scriptet körbart om det inte redan är det med: chmod 555 dittscriptnamn.sh
sen bara ./scriptnamn.sh
Kod: Markera allt
#!/bin/bash
## Installment of openSSH 5.2
## Made by Dencrypt
## Only for Debian/Ubuntu distributions
BUILD_DIR=~/build
E_XCD=86
E_NOARGS=65
ROOT_UID=0
alias sudomakeinst='sudo make install'
echo "This script will create a folder in your homedirectory and save config and buildfiles there"
echo "This will overwrite any previous version of openSSH"
read -p "Continue (y/n)?"
if [ $REPLY != "y" ]; then
echo "Exiting..."
exit 1
fi
## Make Sure your build-directory is created
mkdir ~/build
cd $BUILD_DIR
if [ `pwd` != "$BUILD_DIR" ]
then
echo "Can't change to $BUILD_DIR."
exit $E_XCD
fi
wget ftp://ftp.sunet.se/pub/OpenBSD/OpenSSH/portable/openssh-5.2p1.tar.gz
tar xfv openssh-5.2p1.tar.gz
echo "Files downloaded and unpacked."
echo "Getting build-dependencies"
if [ "$UID" -ne "$ROOT_UID" ]
then
echo "Must be root to run this script."
fi
sudo apt-get update && apt-get upgrade -y
sudo apt-get install -y zlib1g-dev libssl-dev libwrap0-dev make gcc
## Configure and make / install
cd openssh-5.2p1
./configure --with-tcp-wrappers --with-md5-passwords && make
sudo make install
exit 0
Mer info:
http://www.cpni.gov.uk/Docs/Vulnerabili ... ry_SSH.txt
Re: openSSH <5.1 liten säkerhetsbugg
Postat: 22 maj 2009, 19:15
av andol
Tja, nu är väl det iofs en svaghet som uppdagades redan i höstas? En något lättare lösning än att lokalt uppgradera till en ny version utav SSH torde vara att helt enkelt peta lite snällt på sin konfiguration.
http://openssh.com/txt/cbc.adv skrev:
AES CTR mode and arcfour ciphers are not vulnerable to this attack at
all. These may be preferentially selected by placing the following
directive in sshd_config and ssh_config:
Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc
Att använda dessa chiffer som standard är förövrigt precis vad OpenSSH 5.2 (bland annat) gör.
http://www.openssh.com/txt/release-5.2 skrev:
Changes since OpenSSH 5.1
=========================
Security:
* This release changes the default cipher order to prefer the AES CTR
modes and the revised "arcfour256" mode to CBC mode ciphers that are
susceptible to CPNI-957037 "Plaintext Recovery Attack Against SSH".
* This release also adds countermeasures to mitigate CPNI-957037-style
attacks against the SSH protocol's use of CBC-mode ciphers. Upon
detection of an invalid packet length or Message Authentication
Code, ssh/sshd will continue reading up to the maximum supported
packet length rather than immediately terminating the connection.
This eliminates most of the known differences in behaviour that
leaked information about the plaintext of injected data which formed
the basis of this attack. We believe that these attacks are rendered
infeasible by these changes.
Re: openSSH <5.1 liten säkerhetsbugg
Postat: 22 maj 2009, 19:44
av Dencrypt
Sant sant
Men jag tyckte det var enklare att göra ett script eftersom jag administrerar ett 10tal servrar
Re: openSSH <5.1 liten säkerhetsbugg
Postat: 22 maj 2009, 19:46
av andol
Dencrypt skrev:Men jag tyckte det var enklare att göra ett script eftersom jag administrerar ett 10tal servrar :)
Alternativt så lär du dig att egna deb-paket? Om inte annat så brukar det vara relativt trivialt uppgradera ett befintligt paket med en ny uppströms-version.
Utanför ämnet: Vilket påminner mig om att det är hög tid att jag tittare närmare på hur man bygger RPM:er, för de CentOS-maskiner jag pysslar om.
Re: openSSH <5.1 liten säkerhetsbugg
Postat: 22 maj 2009, 19:56
av Dencrypt
Absolut. Det var något jag först tänkte göra men så satt jag ändå och scriptade lite andra grejjer så det gick av bara farten. Men finns det intresse här är det absolut något jag kan tänka mig göra för communityt.