Alvorlig hull i Debian

[Professional]

Ikke noe sjokkerendes nyhet dette her, linux er langt i fra 100% sikkert per dags dato.

[Sokkalf™]

Det står også i ssh config fila at man burde bytte fra port 22 til en annen, da dette ikke er en trygg port. Gjelder dette bare port 22 da som det står i artikkelen? Tror de fleste oppegående it admins bytter denne porten med en gang før de startet opp ssh serveren.

 

Det er ikke alltid det er et alternativ å bytte port. Det kan fort bli mye ekstraarbeid om man har mange klienter som kobler seg opp med SSH/SFTP. Porten er uansett trygg om ting er patchet og riktig konfigurert (ikke i dette tilfellet, såklart, men det hadde ikke en annen port vært heller).

 

Uansett, patchen kom rimelig kjapt, ga tydelige instruksjoner om hva som var galt og hvilke tiltak som måtte iverksettes (ihvertfall på Debian Etch, som jeg har på serveren).

 

Det fulgte også med et lite tilleggsprogram med patchen, ssh-vulnkey, som brukes til å sjekke om man har nøkler som er generert med openssh-versjonen med sikkerhetshullet.

 

Positivt at ting blir fikset fort, men er litt skeptisk til at "package-maintainer" i dette tilfellet har gjort vesentlige endringer i en pakke, og ikke kommunisert godt nok "upstream", dvs tilbake til openssh-prosjektet. Rom for forbedringer, med andre ord.

[Prognatus]

Mange som skryter av at feilen ble raskt rettet, men det hjelper ikke med mindre man faktisk oppdaterer. Det samme problemet har man i os x og windows også, at folk ikke vet hvor oppdateringsknappen sitter eller hvordan den brukes.

Når det gjelder Ubuntu, vil man få beskjed automatisk om at oppdateringer ligger klar til å hentes (hvis man ikke har gått inn i oppsettet og slått av denne funksjonen). Når man får den beskjeden er det bare å trykke på et orange symbol med hvit stjerne på, som ligger på menylinja og oppgi passordet sitt. Det er så lett å se at man umulig kan unngå å legge merke til det. Feilfiks for den feilen som er omtalt i denne artikkelen vil allerede ha installert seg selv gjennom denne oppdateringsfunksjonen.

 

Positivt at ting blir fikset fort, men er litt skeptisk til at "package-maintainer" i dette tilfellet har gjort vesentlige endringer i en pakke, og ikke kommunisert godt nok "upstream", dvs tilbake til openssh-prosjektet. Rom for forbedringer, med andre ord.

Upstream-problematikken er en av de største og mest sårbare utfordringene Open Source-miljøet står ovenfor i dag. Det blir bare verre med tiden også, jo flere som involverer seg og leverer patcher. Det blir jobbet med systemer som skal sikre bedre flyt av rettelser oppover i kjeden, men foreløpig er det liten eller ingen automatikk på dette feltet. Det er en voldsom belastning på de folka som jobber som Upstream Managers og som manuelt gjør slikt i dag.

Endret 16. mai 2008 av Prognatus

[meastp]

Ikke noe sjokkerendes nyhet dette her, linux er langt i fra 100% sikkert per dags dato.

Antakelig er det et forsøk på trolling, og det du sier er jo helt korrekt! Hvis du finner noe som helst som er hundre prosent sikkert (da begrenser jeg meg ikke til IT), så si ifra! Dét har nyhetsverdi.

 

Forøvrig har bl.a Gnome sperret for innlogging på sine debian-servere inntil alle som er innenfor risiko har fått nye nøkler generert. Sier litt om alvorlighetsgraden.

Endret 16. mai 2008 av meastp

[CAT0]

 

 

 

 

Fiks ble gitt samtidig med "avsløringen".

[t_k]

:!:

[Deezire]

Er ganske hard for mange å se at det også dukker opp alvorlige sikkerhetshull i Linux-baserte systemer.

 

Selv om dette er patchet nå så er det fremdeles mange systemer som enda ikke er oppdatert. Dette er ett meget stygt sikkerhetshull.

Detter et et alvorlig sikkerhetshull hvis du lar brukere koble til root via ssh eller benytter seg av keys for automatisk innlogging av klienter. For den generelle brukeren har dette ingenting å si, da man stort sett har blokkert tilgangen til root og automatiserte angrep stort sett retter seg mot root. Men et målrettet angrep så er det plausibelt at dette er farlig, sett at de kan gjette brukernavn på boksen.

 

Forøvrig bør alle legge inn denyhosts, som gjør slike angrep helt umulig. Er vanvittig mye angrep mot debian-servere for tiden grunnet feilen.

[Dy§no]

Så når man har oppgradert pakken og fjernet feilen, laget nye nøkler, så blir spørsmålet; siden maskinen har stått «åpen» siden 2006 – kan noen ha utnyttet sjefstabben og skaffet seg sensitiv informasjon fra serveren? Og hva med alle brukernavn/passord, er de kommet på avveie?

 

Endret;

Synes han er beskriver feilen bra: link

 

After this ‘fix,’ OpenSSL on Debian systems could only use one of a range from 1 to 32,768—the number of possible Linux process identification numbers—as the ‘random’ number for its PRNG (Pseudo Random Number Generator). For cryptography purposes, a range of number like that is a bad joke. Anyone who knows anything about cracking can work up a routine to automatically bust it within a few hours.

Endret 16. mai 2008 av Dy§no

[Deezire]

Det er en mulighet for at det har skjedd, men hvis man har satt opp serveren med denyhosts og tripwire (gjerne checksums på en cd) så skal det svært svært mye til for at noen har gjort det. Passord vil aldri kunne komme på avveie.

Endret 16. mai 2008 av Deezire

[Sokkalf™]

Jeg kjører selv pålogging med publickey, men nøklene mine er generert på en annen boks, som ikke kjører debian, men archlinux. Vil det si at jeg ikke var i "faresonen" her, selv når hullet var åpent? (Jeg har selvfølgelig oppdatert)

 

Programmet ssh-vulnkey, som fulgte med patchen, fant ihvertfall ikke noe galt med nøkkelen min.

[Deezire]

Nei, det er kun en liten range i debian sitt key-pool som blir generert når du installerer systemet. Keys som blir opprettet ved en vanlig tilkobling kan ikke knekkes på samme måten, og man må gjette seg til bl.a. brukernavn og passord som blir en del av keyen.

[Rabbid]

Når man får den beskjeden er det bare å trykke på et orange symbol med hvit stjerne på, som ligger på menylinja og oppgi passordet sitt

Alvorlige sikkerhetsoppdateringer varsles med en rød pil med utropstegn på

Var ihvertfall det jeg fikk frem.

Endret 16. mai 2008 av Rabbid

[jorgis]

Mange som skryter av at feilen ble raskt rettet, men det hjelper ikke med mindre man faktisk oppdaterer. Det samme problemet har man i os x og windows også, at folk ikke vet hvor oppdateringsknappen sitter eller hvordan den brukes.

Når det gjelder Ubuntu, vil man få beskjed automatisk om at oppdateringer ligger klar til å hentes (hvis man ikke har gått inn i oppsettet og slått av denne funksjonen). Når man får den beskjeden er det bare å trykke på et orange symbol med hvit stjerne på, som ligger på menylinja og oppgi passordet sitt. Det er så lett å se at man umulig kan unngå å legge merke til det. Feilfiks for den feilen som er omtalt i denne artikkelen vil allerede ha installert seg selv gjennom denne oppdateringsfunksjonen.

 

En fin detalj som ble introdusert (tror jeg) i Ubuntu 8.04, er at ikonet som indikerer viktige sikkerhetsoppdateringer vises som en rød pil med utropstegn i. Ble litt overrasket når jeg først så det, og fanger øyet en god del mer enn det gamle ikonet som vises for andre oppdateringer. I tillegg popper det jo opp som sånn ballong ved boot.

 

EDIT: Bajs, må lære meg å kjøre refresh før jeg svarer..

Endret 16. mai 2008 av jorgis

[Rabbid]

Hehe, har lenge visst at ikonet lå i gnome-icon-theme, men har heldigvis aldri sett det i bruk før nå ^^

[bjokys]

Riktig som mange sier her at dette er en stygg feil, men det påvirker kun de som har installert SSH-server, og bruker nøkler for å koble til servere.

 

Dette påvirker på ingen måte vanlige brukere, og de som har greid å satt opp SSH med nøkkel for autentisering, bør greie å skrive apt-get upgrade i terminalen. (eventuelt trykke på det røde utropstegnet i gnome-panel).

[Langbein]

Er ganske hard for mange å se at det også dukker opp alvorlige sikkerhetshull i Linux-baserte systemer.

 

Selv om dette er patchet nå så er det fremdeles mange systemer som enda ikke er oppdatert. Dette er ett meget stygt sikkerhetshull.

Du kan ikke seriøst mene at folk som virkelig har brukt Linux en stund tror at systemet er 100% feilfritt. Selv for en nybegynner som akkurat har installert Ubuntu, vil man jo etter en tid få opp svært visuelle varsler om sikkerhetsoppdateringer. Og for mer avanserte brukere som har driftet servere og slikt, er det ihvertfall ingen hemmelighet at det dukker opp exploits fra tid til annen. Så da vet jeg ikke helt hvem du sikter til - det må være rene fanboys som knapt har brukt Linux da, og bare synes det er "tøffere" enn Windows?

 

Men et viktig poeng her, som ikke kommer fram i artikkelen, er at dette ikke er et hull som rammer brukere som kjører et default oppsett. For man må bl.a. har installert SSH-server på maskine! Og i tillegg satt opp key-basert autentisering.

 

Dette står i skarp kontrast til de mange sikkerhetsfeil i Windows som rammer nettopp et default oppsett!

 

Hvor mange feil skulle vi ramset opp på HW.no hvis man tok med alle feil i Windows som i tillegg skyldes installasjon av tredjepartsprogrammer med bestemte tilpasninger?

 

Ubuntu har også en veldig streng policy om at det ikke skal være unødvendig tjenester/porter åpne i default konfigurasjon. Dermed slipper vi at maskinen til tante Olga blir cracka fordi hun ikke visste om alle de rare serverprogrammene som kjørte i bakgrunnen.

 

Windows har jo hatt mange "morsomme" slike services gående som har vært åpne på vid gap uten at brukeren har installert noe som helst. Sasser-ormen er jo et godt eksempel! Et annet er Microsoft "geniale" idé om å sette opp administrative shares som default, og de har attpåtil krevd fikling for å fjerne. Dermed kan folk fritt spasere inn på andre PCer hvis de har dårlige admin-passord, selv om de IKKE selv har satt opp sharing av hele fordømte maskinen!

Endret 16. mai 2008 av Langbein

[Professional]

Ikke noe sjokkerendes nyhet dette her, linux er langt i fra 100% sikkert per dags dato.

Antakelig er det et forsøk på trolling, og det du sier er jo helt korrekt! Hvis du finner noe som helst som er hundre prosent sikkert (da begrenser jeg meg ikke til IT), så si ifra! Dét har nyhetsverdi.

 

Forøvrig har bl.a Gnome sperret for innlogging på sine debian-servere inntil alle som er innenfor risiko har fått nye nøkler generert. Sier litt om alvorlighetsgraden.

 

Ja eg vet det er korrekt, takk for din bekreftelse.

[Prognatus]

Når man får den beskjeden er det bare å trykke på et orange symbol med hvit stjerne på, som ligger på menylinja og oppgi passordet sitt

Alvorlige sikkerhetsoppdateringer varsles med en rød pil med utropstegn på

Var ihvertfall det jeg fikk frem.

Ok, det visste jeg ikke. Jeg kjører fremdeles med forrige versjon av Ubuntu, der det er en hvit stjerne på orange bakgrunn, og jeg vil ikke oppgradere før versjon 8.04.1 kommer i juli. Men hyggelig å høre at det nye ikonet har blitt enda tydeligere.

[Bolson]

Men et viktig poeng her, som ikke kommer fram i artikkelen, er at dette ikke er et hull som rammer brukere som kjører et default oppsett. For man må bl.a. har installert SSH-server på maskine! Og i tillegg satt opp key-basert autentisering.

 

Dette står i skarp kontrast til de mange sikkerhetsfeil i Windows som rammer nettopp et default oppsett!

 

Godt du poengterer dette. Ikke at det gjør "hullet" mindre alvorlig, men det viser også tydelig at normale brukere ikke trenger å være så betenkte.

 

Den virkelige alvorsgraden er på servere med mange brukere hvor man har valgt å bruke ssh-autentisering uten passord, i tillegg knyttet til andre tjenester til samme autentisering. Det har også hatt en viss betydning for OpenSSL, som Debian har patchet samtidig. Så konsekvensen er stor der dette har gitt mulighet for innbrudd, og med klare følgekonsekvenser der sertifikatene brukes videre.

 

Som sagt ovenfor, det er helt korrekt at det har vært skikkelig med angrep på Debianbaserte servere de siste dagene, tror jeg på tirsdag kveld hadde over 20 000 forsøk og ikke få på onsdag heller. Så langt jeg kan lese av logger/overvåkningen ble alle blokkert.

Endret 16. mai 2008 av Bolson

[Gjest Slettet+6132]

Open source er selvsagt en "mixed blessing". Det er en ulempe at black hat hackere har tilgang på koden, siden det lettere kan finne exploits (selv om jeg tror de oftere jobber med prøve og feilemetoden). Men det er derimot en stor fordel at alle kan lese koden, og finne feil. Alle som har programmert vet at det er vanskelig å se egne feil, og at jo flere som titter på koden, jo flere feil kan man avsløre.

 

Så sant som det er sagt!