symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Mehr über die aktuelle OpenSSH Vulnerability
Veröffentlicht durch dawn am Donnerstag 27. Juni, 16:35
Aus der jetzt-ist-es-durch Abteilung
Security Dominik schreibt "Laut SuSE sollen nur Installationen mit eingeschaltetem Support für S/Key und BSDAuth Authentifizierung betroffen sein. Ein weiteres Sicherheitsloch soll es bei aktivierter PAMAuthenticationViaKbdInt Option (interactive keyboard mode) in der sshd_config geben. In den aktuellen Paketen von SuSE sei weder S/Key noch BSDAUTH aktiviert. Auch der interactive keyboard mode sei standardmässig nicht gesetzt. Das Announce von SuSE"

Verkaufsverbot für Region 1 DVD ab August in CH | Druckausgabe | Cablecom wird versteigert  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • SuSE
  • Dominik
  • SuSE
  • Announce von SuSE
  • Mehr zu Security
  • Auch von dawn
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    na dann häng ich noch was an... (Score:2, Informativ)
    Von zyta2k (zyta2002(AT)web.de) am Thursday 27. June, 17:51 MES (#1)
    (User #947 Info)
    Ich denke zwar, dass wie die ganze SSH Geschichte schon ziemlich "durchgekaut" haben... doch wenn schon X-tra eine neue News für eine SuSE Announcement gesetzt wird, dann hänge ich doch noch schnell die Info für Debian an (für die die's interessiert).

    Im kommenden Release (Woody) wird der 3.4er einhalt gewährt. Glücklicherweise wurde Woody nicht schon am 1.Mai (wie geplant) veröffentlicht ;)

    Package: ssh
    Source: openssh
    Version: 1:3.4p1-0.0potato1

    Das Changelog dazu:

    * NMU by the security team.
    * New upstream version
    * Removed --with-rsh

    So long :)

    Problem (Score:3, Interessant)
    Von cyrun am Thursday 27. June, 19:03 MES (#2)
    (User #247 Info)
    Meines Erachtens wären zwei Wege gangbar gewesen:
    • Veroeffentlichung von OpenSSH 3.4 mit dem Bugfix
    • Veroeffentlichung eines Patches fuer die aktuelle Version
    Die Distributoren haben dann die Wahl, ob sie auf 3.4 schwenken oder den Patch fuer ihre Lieblingsversion anpassen.

    Der Patch wird zusammen mit dem Advisory veroeffentlicht und nicht diese halbgaren Announcements.

    All diejenigen, die jetzt "Feurio!" schreien ob der vielen betroffenen Server: Sind es denn jetzt weniger?

    Diejenigen, die zeitnah Updates auf 3.3 durchgefuehrt haben, sind auch diejenigen, die zwei oder drei Optionen in der sshd.conf deaktiviert haetten.

    Denjenigen, die

    • einen unbeschränkten SSH-Zugang (Packetfilter etc.) anbieten und
    • sich nicht um Updates kuemmern
    ist mit Privilege Separation auch nicht geholfen.

    Niemand zwingt einen dazu, die Versionen der Distributoren einzusetzen, ein SSH aus dem Source fuer die eigene Plattform zu bauen, sollte jedem halbwegs geeigneten Admin mit links von der Hand gehen.

    Also: So richtig, wie die Einfuehrung von privsep ist, so falsch ist der Weg, den das OpenSSH-Team gegangen ist, um sie zu forcieren. Viele werden wegen der uebereifrig rausgebrachten Pakete wieder auf eine sauber gepatchte Vorgaengerversion zurueckschwenken, bis wirklich alle Probleme (PAM, MD5 etc.) behoben sind.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen