Notícia publicada por brain em setembro 16, 2003 12:39 PM
| TrackBack
Pelo jeito agora é a nossa vez de ter de lidar com um exploit perigoso. Mas pelo menos não é um worm ;-)
Segundo o Slashdot, foi descoberta uma falha no SSH que permite o comprometimento das máquinas rodando o OpenSSH. Não há muitos detalhes, mas a fonte citada menciona relatos de comprometimento em FreeBSD, RedHat, Gentoo, e Debian. Se o seu sistema não está na lista, isso pode significar que ainda não há relatos sobre ele, pois aparentemente a vulnerabilidade é no OpenSSH em si, e pode afetar qualquer uma das arquiteturas suportadas por este pacote: AIX, HP-UX, Irix, Linux, NeXT, Solaris, MacOS X, roteadores Cisco e até o Windows.
Aparentemente a vulnerabilidade foi divulgada ontem, mas já há correção oficial. A sugestão é desativar imediatamente o sshd ou filtrar o acesso a ele através da sua firewall, aceitando pacotes na porta 22 só a a partir de origens previamente liberadas. Em seguida, aplique a correção - ou aguarde instruções do distribuidor do seu sistema operacional.
O Renato, do LinuxSecurity (que também oferece a hospedagem do br-linux) publicou mais detalhes sobre o bug, o patch e a correção para quem vai instalar a partir dos fontes.
Quem prefere instalar versões empacotadas deve aguardar pelos pacotes específicos do seu sistema, que devem sair ao longo do dia (confira o site de atualizações do seu fornecedor). Mas neste caso não deixe de desativar preventivamente o sshd ou bloqueá-lo seletivamente na firewall ;-)
Atualização: segundo o LWN, a existência de exploit para esta falha é apenas um rumor, ninguém declarou ter visto ou comprovado a existência até agora. Tomara que seja apenas um boato!
nao sei se eh exatamente essa falha, mas na semana passada invadiram meu slackware 9.0 utilizando openssh. o cara q invadiu parece ter tentado fazer outros ataques via openssh atraves do meu server. fui inclusive alertado pelo NIC BR Security Office (http://www.nbso.nic.br/) tentamos diagnosticar o que foi feito mas nao tivemos nada de concreto.
De acordo com o anúncio na bugtraq, para resolver o problema basta aplicar o patch (url consta na notícia) ou dar um upgrade para a versão 3.7 (http://openbsd.org.br/openssh/). Todas versões anteriores são afetadas (mas não comprovadamente vítimas de um exploit - quem quer correr o risco? :-).
Eu ia avisar o Augusto sobre isso, mas ele foi mas rápido :)
Eu vou esperar o pacote rpm, hehehe... vamos ver, até agora Red Hat, Conectiva e Mandrake nada :)
(tb, faz dois minutos, hehehe)
Tem uns cara imbecis que nao tem nada a mais pra fazer na vida e fica criando virus, exploits e outros... produzir algo de bom eles nao fazem.
Fui lá no site da red hat agora e já tem o patch
tem, esse pessoal que não tem o que fazer atrapalha muita gente. Mas é graças a esse pessoal que falhas são levadas a sério.
Melhor o computador ser derrubado por um ataque vândalo (crack) do que ser invadido e monitorado pela concorrência (espionagem industrial), não acha?
Parabéns à Red Hat... por enquanto Mandrake e Conectiva
/sbin/service sshd stop
:(
Ah... e não é a 3.7... é a 3.4p1-5
Antes que a confusão se crie:
A última versão (portable) do site(ou mirrors) openssh é:
openssh-3.7p1.tar.gz
Tiago, não confunda versionamento de RPMs da Redhat (último upgrade openssh-3.5p1-X.plat.rpm ) com os pacotes source openssh.
Assim como outras distruibuições vão criar .debs e .rpms com suas próprias versões.
1) O bug permite a exploração mesmo em sistemas com separação de privilégios (OpenBSD). Felizmente ainda não existe um exploit comprovado, senão o bicho iria pegar muuuuuuuuuuito firme, a molecada script kiddie iria largar as Playboys da Babi pra ficar 0wnando sistemas :)
2) Saiu há algum tempo um documento da RedHat sobre backport de patches de segurança.
Haamm... com que entao o software aberto e seguro anda com bugs?
Pensei que apenas o proprietario(Microsoft) pudesse ser vitima disso.
Haamm... e quanto ao RPC Que tal o tal de Solaris tambem ser vitima disso ? http://www1.folha.uol.com.br/folha/informatica/ult124u13906.shtml
Corrigindo o que o nosso colega Augusto Campos, falou em referência ao Worm, a falha do SSH não tem um Worm ainda só o xpl, porém, isso poderá facilmente virar um Worm!
É uma questão de tempo!
Pra quem for usuário do Gentoo, a versão 3.7 já se encontra disponível na portage tree. Para instalar o patch, resumidamente, basta: emerge sync && emerge -u openssh.
chimpa,
Valeu!
O Samba mais atual do Red Hat é 2.2.7-xxxx tb, valeu pela explicação!
A diferença critico é que no mundo opensource as falhas são divulgadas e no mesmo dia ja temos as correções, diferentemente da falha rpc do rwindows que todo mundo sabia que existia e a microsoft so lançou as correções quando ja era tarde.
E outra coisa, o solaris é propietário também
Conectiva já saiu correção para o 7,8 e 9.
Crítico,
A diferença entre vulnerabilidades em softwares proprietários e abertos chama-se transparência. Ambos foram codificados por humanos e estão sujeitos a erros. Ambos vão ser explorados. Agora, com certeza é mais fácil encontrar erros de programação (bugs) em códigos abertos, embora não seja nem um pouco impossível encontrá-los em soft proprietário (veja o DCOM RPC do Windows). Se a pessoa que encontra um erro em um código aberto for legal, ela manda um email para o responsável pelo software. Se for um black hat, provavelmente a notícia vai correr underground até algum sysadmin notar uma mensagem de core dump em seus arquivos e , com alguma sorte, eventualmente esse bug vai chegar à comunidade. Uma coisa é fato: a auditoria de código de um software aberto ajuda bastante na descoberta de bugs. Em softs proprietários tal auditoria só pode ser feita pelo proprietário, embora nada impessa que o bug seja descoberto (via engenharia reversa ou testes de buffer por ex.).
Erros sempre serão encontrados em qualquer sistema. A diferença é a transparência e a auditoria de programadores independentes de todo mundo, mandando patches e correções.
Ja tem correcao pro SuSE tbem
Por que será que, ultimamente, toda a vez que sai um exploit em algum software Open Sorce, alguém *anonimo* faz comentários tipo: "Meu deus fui invadido!" Ou comparando com a M$... Isso está me parecendo factóides do Cesar Maia. Se alguém foi invadido, ou então acha que é um absurdo existir bugs em sistemas open source, pelo menos poderiam se identificar para que possamos conversar e ver se são pessoas mesmo, ou se é uma nova estratégia de marketing.
Comando para atualizar o RedHat para varias versões:
7.2
rpm -Uhv http://updates.redhat.com/7.2/en/os/i386/openssh-3.1p1-10.i386.rpm \
http://updates.redhat.com/7.2/en/os/i386/openssh-askpass-3.1p1-10.i386.rpm \
http://updates.redhat.com/7.2/en/os/i386/openssh-askpass-gnome-3.1p1-10.i386.rpm \ http://updates.redhat.com/7.2/en/os/i386/openssh-clients-3.1p1-10.i386.rpm \
http://updates.redhat.com/7.2/en/os/i386/openssh-server-3.1p1-10.i386.rpm
7.3
rpm -Uhv http://updates.redhat.com/7.3/en/os/i386/openssh-3.1p1-10.i386.rpm \
http://updates.redhat.com/7.3/en/os/i386/openssh-askpass-3.1p1-10.i386.rpm \
http://updates.redhat.com/7.3/en/os/i386/openssh-askpass-gnome-3.1p1-10.i386.rpm \ http://updates.redhat.com/7.3/en/os/i386/openssh-clients-3.1p1-10.i386.rpm \
http://updates.redhat.com/7.3/en/os/i386/openssh-server-3.1p1-10.i386.rpm
8.0
rpm -Uhv http://updates.redhat.com/8.0/en/os/i386/openssh-3.4p1-5.i386.rpm \
http://updates.redhat.com/8.0/en/os/i386/openssh-askpass-3.4p1-5.i386.rpm \
http://updates.redhat.com/8.0/en/os/i386/openssh-askpass-gnome-3.4p1-5.i386.rpm \ http://updates.redhat.com/8.0/en/os/i386/openssh-clients-3.4p1-5.i386.rpm \
http://updates.redhat.com/8.0/en/os/i386/openssh-server-3.4p1-5.i386.rpm
9
rpm -Uhv http://updates.redhat.com/9/en/os/i386/openssh-3.5p1-9.i386.rpm \
http://updates.redhat.com/9/en/os/i386/openssh-askpass-3.5p1-9.i386.rpm \
http://updates.redhat.com/9/en/os/i386/openssh-askpass-gnome-3.5p1-9.i386.rpm \ http://updates.redhat.com/9/en/os/i386/openssh-clients-3.5p1-9.i386.rpm \
http://updates.redhat.com/9/en/os/i386/openssh-server-3.5p1-9.i386.rpm
concordo com você Artur.
Put´s atualizei meus red hat´s pelos fontes mesmo .. naum tem segredo tambem !!
Off-topic: se trolls são a prova do crescimento de um site de notícias, então o tal crítico é um sinal de parabéns ao Augusto :)
Off-topic 2: "Don't feed the trolls"
On-topic: já saiu a 3.7.1, com mais bugs da mesma espécie corrigidos.
jah tem correção para o slackware
esta no slackware-current
Para usuários Mandrake:
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:090
Tudo isso só ratifica uma coisa: correções para os problemas (que sempre vai existir, pois somos humanos) estão tornando quase instantâneos. Mas, só no Linux...
Até que foi rapido o lançamneto das correções :O)
só parei o meu serviço OpenSSH por algumas horas
Mais uma vez a comunidade OpenSource dá provas de que:
primeiro, é composta de seres humanos (que alivio).
segundo, é bem organizada e rápida quando rapidez é preciso.
Erros sempre existirão, mas a diferença - entre os modelos aberto e fechado de software - é a constante auditoria, a velocidade e a credibilidade das correções.
Qual administrador de sistemas fechados nunca pensou em esperar mais um pouco para ver se essa nova atualização não está com algum problema.
Felizmente nós do mundo OpenSource não temos esta preocupação. Liberou correção, Update no servidor, Paz e tranquilidade de novo.
*********** IMPORTANTE ***********
PessoALL,
Lí na LinuxSecurity Brasil (http://www.linuxsecurity.com.br/article.php?sid=7850&mode=thread&order=0) que foi relançada a atualização do OpenSSH de ontem com mais algumas correções.
*********** IMPORTANTE ***********
Mais um bug no mesmo produto.
E depois diziam q apenas na Micro$oft isso podia acontecer.
Bazofias.
Ser critico não é sustentar opniões sempre na mesma tendencia. O que? Não era essa a intenção com esse nick? Foi mau.
Não queria começar uma flame, mas não pude agüentar.
Nunca vi a M$ assumir uma vulnerabilidade de um produto e ter a (ou as) correção(ões) tão rapidamente.
Acontecer o que, crítico? Ter mais de um bug no mesmo produto?
Os mantenedores do ssh ontem resolveram o bug que havia sido relatado, e depois fizeram uma auditoria e resolveram prevenir mais algumas possibilidades de falha, lançando uma segunda versão com pouco intervalo entre as duas.
Não lembro de alguém ter dito que só no mundo Microsoft isso acontece. O que acontece só lá, acho eu, é lançarem um update e depois descobrirem que este update causa outros problemas ainda maiores. E descobrirem só depois que vários usuários já tenham instalado, porque ninguém tem acesso ao fonte dos updates para poder auditar e questionar.
Ou de lançarem updates semanas ou meses após a divulgação de uma vulnerabilidade documentada.
Mas descobrirem mais de um bug no mesmo sistema por causa de auditorias externas de código, e corrigirem cada um deles em tempo curtíssimo não é característica específica do mundo MS não.
Ou você quer dizer que no mundo MS cada produto tem apenas um bug?
Como de hábito, você parece mais preocupado em causar discussão do que em argumentar :)
Aliás, ampliando a questão, nunca critiquei a MS ou qualquer outra distribuidora de software pelo excesso de patches lançados. O que eventualmente causa problemas (e gera críticas) é a ausência, a demora ou a má qualidade dos patches distribuídos.
Acho que bug todo mundo tem, e corrigi-los rapidamente é qualidade, e não defeito. Permitir que fontes externas interessadas auditem o código também é qualidade, e não defeito.
Isso leva a reflexões sobre fatos como o noticiado recentemente, que a correção da falha do RPC que permitiu a propagação do worm Blaster nos sistemas da MS não foi completa, e mesmo quem a aplicou hoje pode continuar exposto a outros worms do mesmo tipo (http://informatica.terra.com.br/interna/0,,OI142501-EI559,00.html).
Não seria melhor ter corrigido rápido?
Eu creio que sim... :)
So pra complementar, a correcao para o debian saiu 2h depois do anuncio da vulnerabilidade! Eh nisso que usuarios de distribuicoes com ferramentas de atualizacao "automatica" saem ganhando, em especial, apt, Yast entre outros.
Por favor necesito el xploit que aprovecha el bug del ssh. Uds. publicaron en http://brlinux.linuxsecurity.com.br/noticias/000989.html
me pudieran enviar por favor?
Queria saber se alguem manja algo sobre putty, pois eu uso o windows e tenhu o perl e é com ele q eu hackeio alguns servidores(exploits)e eu queria aprender um pouco mais sobre o putty, queria saber se é igual o perl e se da pra usar exploits???
mto obrigado!!!
vida loka
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.