|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
 |
|
|
|
Von Anonymer Feigling am Thursday 18. September, 12:24 MET (#12)
|
|
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 16. September, 19:35 MET (#2)
|
|
|
|
|
debian:
apt-get update
apt-get upgrade
Für Gentoo steht auch was auf slashdot.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Bist Du Dir da sicher bzgl. Debian? Laut http://master.debian.org/~joey/3.0r2/ hat die heute morgen auf security.debian.org hochgeladene ssh (1:3.4p1-1) keinen Backport dieses Patches, sondern folgendes:
ssh-keysign.c: Backport upstream patch to free input data only once it's no longer required. ssh-keysign was completely broken without this, breaking hostbased authentication (closes: #189443).
This is a normal bug. Host-based auth is not vital to ssh, the package is not rendered unusable, except in a rare case. Hence, this should be documented in the errata section but doesn't require an update to stable.
Sieht also nicht sehr nach dieser Lücke aus... Außerdem ist auch noch nirgends ein Security-Advisory in Sicht. Weder auf der ML, noch im Web-Archiv der ML noch in den gerade von Joey versendeten DWN.
--
There is no place like $HOME.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 16. September, 20:13 MET (#4)
|
|
|
|
|
Das sollte er doch eigentlich sein, oder:
openssh (1:3.4p1-1.1) stable-security; urgency=high
* NMU by the security team.
* Merge patch from OpenBSD to fix a security problem in buffer handling
-- Wichert Akkerman Tue, 16 Sep 2003 13:06:31 +0200
|
|
|
|
|
|
|
|
|
|
|
|
|
Ok, mein Fehler. Hab nach dem Update an der falschen Stelle nach der bei mir installierten Versionsnummer geschaut. Jau, er isses. Sorry für die Verwirrung.
--
There is no place like $HOME.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 16. September, 21:46 MET (#6)
|
|
|
|
|
Gentoo:
#emerge sync
(...)
#emerge update openssh
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Interessant finde ich das Update bei Heise.
Dort steht: "Mehrere voneinander unabhängige Quellen bestätigten, dass ein solches Programm [Exploit] bereits seit August einer "sehr kontrollierten" Nutzergruppe zur Verfügung stehe".
Offensichtlich haben diese Personen ein berechtigtes Interesse daran, dass die Sicherheitslücke nicht veröffentlicht wird, sonst hätten sie sich ja an die Autoren von OpenSSH wenden können um die Lücke schließen zu lassen.
Heise schreibt weiterhin im gleichen Update, dass ein existierender Exploit in die "falschen Hände" geraten sei, was auch der Grund für das öffentliche Bekanntwerden der Sicherheitslücke gewesen sein könnte.
Also... Der Exploit war vorher in den "richtigen Händen" und in einer "sehr kontrollierten Nutzergruppe". Wenn das nun der Bundesnachrichtendienst oder eine andere Geheimdiensteinrichtung war - meine Vermutung - warum "verlieren" sie solche Geheimnisse?
Und: Wieviele Backdoors hat ein Windows?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BND, Polizei, MAD (militärischer Abschirmdienst), FBI, CIA, NSA, Mossad, Scottland Yard, MI6, MI5 das sind natürlich "Die Guten".
"Die Bösen" sind natürlich Al Quaeda, TeRRoRisten, der Irak, Nord Korea, Bürgerrechtsgruppen, Websitebetreiber, Du, ich...
Wenn man nicht "böse" ist, dann braucht man auch nichts verbergen!
"Die Guten" haben den Exploit natürlich nur gehabt um Backdoors in den Servern der "Bösen" anzulegen.
Der nächste TeRRoRanschlag kommt bestimmt. Auf irgendeinem Server werden die detaillierten Pläne sicher rumliegen.... vielleicht sogar auf Deinem?!
NSG
--
The only nice thing about spam is that it doesn't ring.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
problem war ja, dass fatal() in einem inkonsistenten zustand aufgerufen wurde (buffer-grösse wurde erhöht, aber der eigentliche buffer noch nicht vergrössert). fatal() räumt dann den inkonsistenten buffer gemäss der angegebenen grösse auf --> boom. da fatal() an etlichen stellen im code benutzt wird, wurden nach veröffentlichung des ersten patches noch weitere stellen gefunden, an denen fatal mit inkonsistentem zustand aufgerufen wird, und die wurden nun mit 3.7.1 gepatcht. (wobei ein fatal() das "unsichere" aufräumarbeiten macht eh design-mässig fragwürdig ist... aber das ist nun doch ziemlich OT)
|
|
|
|
|
|
|
|
|
|
|
|
|
Paß auf, da kommt noch einer. FreeBSD hat was,
und sie behaupten, OpenBSD/OpenSSH werde die diffs
auch bald einbauen.
Bis jetzt lese ich davon noch nix in source-changes,
die werden wohl erst grprüft.
OpenSSH war eh harmlos und nicht exploitbar;
sendmail war nerviger (auch 1xpatch, 1xupdate in
der Reihe).
--
mirabile, irc.ipv6.eu.freenode.net:6667 {#deutsch,#ccc,#IceWM,#OpenBSD.de,#IPv6,#freenode,...}
|
|
|
|
|
|
