symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Wieder potientielle Lücken in OpenSSH
Veröffentlicht durch XTaran am Montag 22. September, 11:42
Aus der Auf-ein-Neues Abteilung
Security Wie über die Debian-Security-Announcements zu lesen ist (DSA-382-3, DSA-383-2), gibt es wieder neue, potientielle Lücken in der aktuellen OpenSSH-Version 3.7.1, wie auch das CVE-Projekt unter der ID CAN-2003-0682 feststellt. Leider konnte ich bisher weder eine entsprechende Mail von "Solar Designer" finden, noch den, Patch, den Debian und EnGarde-Linux angewendet haben. Neue OpenSSH-Version ist bisher keine veröffentlich worden. Weiß jemand, wo's Infos zum Patch gibt?

Außerdem gibt's aus aktuellem Anlaß eine neue Symbox: LinuxSecurity Advisories.

Umstrittener Absatz in EU-Patent-Direktive gestrichen! | Druckausgabe | Knoppix mit neuer Beta  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • OpenBSD
  • Linux
  • LinuxSecurity Advisories
  • DSA-382-3
  • DSA-383-2
  • CAN-2003-0682
  • EnGarde-Linux angewendet
  • OpenSSH
  • Mehr zu Security
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    "Weiss jemand wos Infos zum Patch gibt?" (Score:0)
    Von Anonymer Feigling am Monday 22. September, 11:59 MET (#1)
    Schau doch einfach mal in's Web-CVS: http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh
    Patch in Woody (Score:2)
    Von pfr am Monday 22. September, 12:22 MET (#2)
    (User #4 Info) http://www.math.ethz.ch/~pfrauenf/
    Den Patch findest du sicher im unterschied zwischen den verschiedenen diff.gz in
    http://security.debian.org/pool/updates/main/o/openssh/
    Das orig.tar.gz (im selben Verzeichnis) schein nälich von 2002 zu sein.
    --
    Kühe geben keine Milch, die Bauern nehmen sie ihnen weg!
    Re: Patch in Woody (Score:2)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Monday 22. September, 12:30 MET (#3)
    (User #129 Info) http://abe.home.pages.de/
    Stimmt, da hatte ich auch schon dran gedacht. Aber der Patch für die Version .woody.4 scheint dort noch nicht zu sein. Aber das ist zumindest eine deutlich übersichtlichere Quelle als das OpenBSD-CVS. ;-)

    Außerdem hätte ich wirklich gerne mal die Quelle von Debian & Co. gesehen. Denn der Debian-Patch ist halt für die 3.4er OpenSSH... Trotzdem Danke.

    --
    There is no place like $HOME.
    Re: Patch in Woody (Score:0)
    Von Anonymer Feigling am Monday 22. September, 12:49 MET (#4)
    Wieso .woody.4?
    DSA-382-3: "For the Debian stable distribution these bugs have been fixed in version 1:3.4p1-1.woody.3"

    Hab ich was verpasst?
    Re: Patch in Woody (Score:1)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Monday 22. September, 13:14 MET (#5)
    (User #129 Info) http://abe.home.pages.de/
    Nein, sorry, mein Fehler: Das war nicht das ssh-Paket sondern das ssh-krb5-Paket. Das ist bereits bei .woody.4: DSA-383-2.

    --
    There is no place like $HOME.
    Gentoo (Score:1)
    Von Joker am Monday 22. September, 14:16 MET (#6)
    (User #1005 Info) http://www.netswarm.net/
    Bei Gentoo ists noch nicht als stable markiert aber man kanns natürlich trotzdem installieren.

    ACCEPT_KEYWORDS=~sparc emerge openssh
    /etc/init.d/sshd restart

    Der Grund dafür ist wohl: http://bugs.gentoo.org/show_bug.cgi?id=29018
    Bei allen meinen Kisten kompilierts auf jeden Fall sauber (x86 und sparc)
    FreeBSD? (Score:0)
    Von Anonymer Feigling am Monday 22. September, 17:44 MET (#7)
    Was machen FreeBSD-User?
    Re:FreeBSD? (Score:1)
    Von greybeard am Monday 22. September, 18:01 MET (#8)
    (User #412 Info)
    Selber kompilieren. (Die sollten dazu faehig sein).
    Re:FreeBSD? (Score:0)
    Von Anonymer Feigling am Monday 22. September, 18:16 MET (#9)
    schon, bloß wo gibts die patches? Von offizieller Seite ist noch nichts verkündet worden.. oder bei mir nur nichts angekommen ;)
    Re: FreeBSD? (Score:1)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Monday 22. September, 18:18 MET (#10)
    (User #129 Info) http://abe.home.pages.de/
    Eben genau das ist das Problem, das ich meinte. Die sind nirgends zu finden.

    --
    There is no place like $HOME.
    Re:FreeBSD? (Score:0)
    Von Anonymer Feigling am Monday 22. September, 18:18 MET (#11)
    augen aufmachen und patchen
    ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:12.openssh.asc
    Re:FreeBSD? (Score:1)
    Von Ventilator (ventilator auf parodia punkt zee haa) am Monday 22. September, 18:26 MET (#12)
    (User #22 Info) http://www.mp3.com/bri
    Das ist doch der Bug von letzter Woche.
    --
    Den Symlink-Autoren bei der Arbeit zuhören? MP3 hier
    Re:FreeBSD? (Score:0)
    Von Anonymer Feigling am Monday 22. September, 18:32 MET (#13)
    der existiert auch schon seit letzter woche.
    dass er heute auf symlink erscheint, heisst
    ja nicht, dass er neu ist.
    Re:FreeBSD? (Score:1)
    Von Ventilator (ventilator auf parodia punkt zee haa) am Monday 22. September, 18:56 MET (#15)
    (User #22 Info) http://www.mp3.com/bri
    Wie neu? Ist die Lücke in OpenSSH nun neu oder ist die Meldung eigentlich ein alter Hut und Debian hat gepennt? (Grummel, Debian!)
    --
    Den Symlink-Autoren bei der Arbeit zuhören? MP3 hier
    Re:FreeBSD? (Score:1, Informativ)
    Von Anonymer Feigling am Monday 22. September, 19:08 MET (#16)
    der "neue" bug (can-2003-0682) wurde am 17. durch
    ein openpkg security advisory veroeffentlicht. also
    kurz nach openssh 3.7.1. da es noch kein 3.7.2 gibt,
    kann man wohl davon ausgehen, dass der bug nicht
    wirklich kritisch ist.

    noch mal zum mitschreiben, im aktuellen freebsd
    patch sind die fixes enthalten.
    Re:FreeBSD? (Score:1)
    Von Ventilator (ventilator auf parodia punkt zee haa) am Tuesday 23. September, 08:17 MET (#17)
    (User #22 Info) http://www.mp3.com/bri
    Nochmal nachgefragt: Ich hab meine Kisten letzten Freitag gepatcht. Damit ist der neueste Bug also auch beseitigt?
    --
    Den Symlink-Autoren bei der Arbeit zuhören? MP3 hier
    Re:FreeBSD? (Score:0)
    Von Anonymer Feigling am Tuesday 23. September, 13:07 MET (#18)
    ja, da gabs das revidierte advisory schon.

    wenn du sicher gehen willst, guck in deine
    sources. im ersten patch wurde nur buffer.c
    angefasst. im aktuellen auch channels.c und
    eine handvoll anderer files.

    erstes advisory: can-2003-0693
    revidiertes advisory: can-2003-0693 +
    can-2003-0695 + can-2003-0682

    in zukunft lies bitte die einschlaegigen mls:
    http://www.freebsd.org/security/index.html#ml
    Re:FreeBSD? (Score:0)
    Von Anonymer Feigling am Monday 22. September, 18:42 MET (#14)
    ups... dann ist wohl Debian wieder mal um einiges hinterher... Debian-Security-Announcement datiert auf 21. Sept. und für BSD-User war die Sache schon am 19. erledigt... Kann das wirklich bei dieser kritischen Sicherheitslücke tatsächlich so sein?? Bevor ich Debian lobe, möchte ich wissen, ob es denn gerecht ist ;)
    Re:FreeBSD? (Score:0)
    Von Anonymer Feigling am Tuesday 23. September, 13:51 MET (#19)
    Vielleicht ist ja dieses gemeint: Subject: Portable OpenSSH Security Advisory: sshpam.adv This document can be found at: http://www.openssh.com/txt/sshpam.adv 1. Versions affected: Portable OpenSSH versions 3.7p1 and 3.7.1p1 contain multiple vulnerabilities in the new PAM code. At least one of these bugs is remotely exploitable (under a non-standard configuration, with privsep disabled). The OpenBSD releases of OpenSSH do not contain this code and are not vulnerable. Older versions of portable OpenSSH are not vulnerable. 2. Solution: Upgrade to Portable OpenSSH 3.7.1p2 or disable PAM support ("UsePam no" in sshd_config). Due to complexity, inconsistencies in the specification and differences between vendors' PAM implementations we recommend that PAM be left disabled in sshd_config unless there is a need for its use. Sites only using public key or simple password authentication usually have little need to enable PAM support.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen