|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
Von Anonymer Feigling am Wednesday 17. September, 07:45 MET (#1)
|
|
|
|
|
Warum muss debian eigentlich seinen eigenen, zusammengepatchten sshd haben? Versionsmässig finde ich das so ziemlich unübersichtlich..
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Schau mal hier: http://www.debian.org/security/faq#oldversion
Sebastian
--
Debian GNU/Linux Support auf Deutsch: debianforum.de
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Befrage einfach mal Google nach folgenden Schlagwörtern password, sniffer, network, setze ein beliebiges der gelisteten Tools auf eine testweise aufgesetzte Telnetverbindung in deinem Netzwerk an und erstrahle in Schamesröte. Besonders rot solltest Du werden, wenn Du mal ein Tool wie Ettercap ausprobiert hast. Dieses (und viele andere Tools) sind nämlich sogar in der Lage, in unverschlüsselte TCP/IP-Verbindungen beliebige Zeichen (z.B. rm -fr /) einzuschleusen.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 17. September, 15:33 MET (#15)
|
|
|
|
|
Dessen bin ich mir bewusst. Mit SSH ist meine Kiste ca alle 2 Monate für alle Leute frei zugänglich, sie müssen nicht einmal sniffen.
|
|
|
|
|
|
|
|
|
|
|
|
|
ich find die kritik zum grössten teil ziemlich unangebracht, z.t technisch schlicht falsch. dank openssh kamen die leute vom kommerziellen ssh.com weg; wer openssh (oder Theo de Raadt) nicht mag, soll doch auf die GNU implementation von SSH2, lsh umsteigen. ausserdem: wer openssh mit privilege separation laufen hat, der war von den meisten (allen?) bugs seit einführung von privsep nur sehr bedingt betroffen, so auch hier. ich finde das rumgemaule wie gesagt ziemlich dumm (FUD).
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 17. September, 22:16 MET (#18)
|
|
|
|
|
telnet über vpn oder ssl? - naja... telnet hat sicher auch sein Löcher... nur weils kein normaler Mensch mehr verwendet (oder? ODER!) - werden die auch nicht so schnell gefunden....
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 17. September, 10:10 MET (#4)
|
|
|
|
|
tjo, der bug (exploit?) ist nicht der erste, aber komplexe sachen (vom menschen geschaffen) werden immer fehler enthalten und je komplexer desto ...
was mich stoert ist eigentlich eher der umstand, dass man vom 'loch' irgendwo hoert (heise oder sonstwo) und erst danach auf errata.html at openbsd/ssh (security-ML oder .html sowieso erst viel spaeter odeNote: This above source fails to build on earlier OpenBSD, because IPV6 support in libc was incomplete.r garnicht)
und jetzt noch solche ungenauigkeiten auf openssh.com -> openbsd-bereich:
Note: This above source fails to build on earlier OpenBSD, because IPV6 support in libc was incomplete.
welche version ist denn jetzt gemeint (ich vermute mal - wie gehabt - dass 2.7 nicht compilen wird ...
--ingolf
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hallo,
Kann es sein das bei Debian dieses neuste Sicherheitsloch noch nicht gepacht ist (Ich spreche von Debian, stable) denn in den Sicherheitsinformationen von debian.org fand ich nur diesen Security Alert: DSA-382 ssh und in diesem Security Alert steht nur etwas von 3.7, nicht aber 3.7.1.
Kann mich jemand aufklähren?
--
open minds - open source - open future - close windows
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 17. September, 14:27 MET (#12)
|
|
|
|
|
Hoi Falstaff
Es ist tatsaechlich so dass Debian momentan noch keinen Backport der neusten Upstream-Version 3.7.1 hat.
Gruss
Skar
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 17. September, 14:56 MET (#13)
|
|
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 17. September, 14:59 MET (#14)
|
|
|
|
|
Vielleicht gibt's das Sicherheitsloch in dem Backport von Debian gar nicht...
Wer weiss?
|
|
|
|
|
|
|
|
|
|
|
|
|
http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00188.ht ml
|
|
|
|
|
|
|
|
|
|
|
|
|
Vorraussetzungen: ein dyndns.org-Account (kostenlos) + iptables
iptables -F INPUT
iptables -P INPUT ACCEPT
iptables -A INPUT -j ACCEPT -p tcp --destination-port 22 -s meinrechner.dyndns.org
iptables -A INPUT -j DROP -p tcp --destination-port 22
iptables -A INPUT -j DROP -p udp --destination-port 22
Einstellungen: Alles verbieten was nicht ausdrücklich erlaubt ist, deshalb UDP auf port 22 (ssh) droppen
Vorteil: Ich kann meine das DynDNS-IP per Webinterface ändern und so von jedem Rechner meiner Wahl connecten.
NSG
--
The only nice thing about spam is that it doesn't ring.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja! Ich habe es gerade mal ausprobiert, der Hostname wird als IP eingetragen (sieht man mit iptables-save). Die Idee an sich ist ganz nett, wenn man aber mal bedenkt, daß dann iptables jedes mal eine Namensauflösung machen müßte... Das wäre ganz schön lahm. Deshalb wird das auch nicht gemacht. Hat jemand andere brauchbare Namensvorschläge!?
|
|
|
|
|
|
|
|
|
|
|
|
|
Ueber iptables alleine laesst sich es nicht loesen, denn eine DNS Aufloesung dauert immer zu lange... aber man kann ja einfach ein CGI(PHP) schreiben, welches IP-Tables neu laedt nachdem man die IP ueber dyndns geaendert hat, welches man dann nur ueber Apache/SSL frei gibt. Das sollte dann recht sicher sein, denn selbst wenn man Apache/SSL austricksen sollte, kann man nicht von Hand eine IP eingeben sondern nur die IP-Tables neu laden, welches die DynDNS Adresse schluckt. Dann muesste man halt noch DynDNS hacken, aber dann glaube ich kannst du eh nichts mehr machen, denn der Hacker ist einfach zu gut ;-).
Bye,
David
|
|
|
|
|
