OpenSSH 3.7.1 - Update dringend empfohlen

[cybersmog]

Probier mal

Code: Select all

ln -s /lib/libz.so.1 /lib/libz.so
ldconfig

Das hat geholfen. configure ist dann problemlos durchgelaufen. Jetzt bleibe ich allerdings bei make hängen:

Code: Select all

compress.c:141: `Z_PARTIAL_FLUSH' undeclared (first use in this function)
compress.c:143: `Z_OK' undeclared (first use in this function)
compress.c:145: request for member `avail_out' in something not a structure or union
compress.c:147: `Z_BUF_ERROR' undeclared (first use in this function)
make: *** [compress.o] Error 1

Hat da noch jemand eine Idee?

[dodolin]

Nicht zum Problem hier, aber zum aktuellen und anderen OpenSSH-Problemen:
Wenn man diversen Experten in den Newsgruppen glauben darf, dann kann man diese aktuellen Buffer-Overflows wohl nicht wirklich ausnutzen, um Programmcode einzuschleusen. Jedenfalls hat bisher wohl noch keiner eine solche Möglichkeite gefunden.

Allerdings musste ich auch diese Info hier lesen:

P.S.: Es gab da wohl seit zwei Jahren einen Bug in sftp bei OpenSSH,
der Root-Eskalation für normale User erlaubte, und der in 3.6
stillschweigend gefixt wurde. Danke.

Es stellt sich daher die Frage, "wie" stillschweigend das genau war. Vor allem stellt sich mir folgende Frage: Wenn es dazu also kein offizielles Advisory/Announcement gab, dann könnte es gut sein, dass größere Distributionen, die für gewöhnlich nicht immer die neuesten Versionen haben, sondern Security-Fixes auf alte Versionen backporten, dieses Leck nicht gefixed haben. Insofern ist es wohl anzuraten, dass man mit Versionen < 3.6 sftp gegebenenfalls abschaltet, wenn man sich nicht sicher ist, ob das gefixed ist.

[alexander newald]

Wobei ich lieber eine Lücke schliesse bevor es Exploits gibt, als nachträglich zu wissen, dass mein Rechner Wochen offen war/gewesen sein könnte. Ob sich letztendlich die Lücke ausnutzen lässt spielt keine Rolle. Sicherheitsupdates sind dazu da, eingespielt zu werden!

[dodolin]

@Alexander: Das wollte ich mit meiner Aussage auch keinesfalls in Frage stellen. :)

[pg-computer]

Hoi Hoi,

die Files liegen schon auf dem SuSE Server für 7.2 und Co..

SuSE 7.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 7.3:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 8.0:
ftp://ftp.suse.com/pub/suse/i386/update ... 4.i386.rpm

SuSE 8.1:
ftp://ftp.suse.com/pub/suse/i386/update ... 4.i586.rpm

SuSE 8.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i586.rpm

Hab bei mir gepatched (7.2) hat einwandfrei geklappt...

einfach rpm -Uvh ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

oder eben die Version von SuSE die ihr habt... naja hab mir mal den Code angeguckt mit meinem Ausbilder, der meinte, da ist schon die nächste Lücke drinne in dem Patch, wird also nicht lange dauern, gibts den nächsten Patch, ist wieder ein Buffer Overflow drinne.


Bis denne mal,


Peter

PS:

Das steht noch dabei:
openssh: Secure Shell Client und Server (Remote Login Programm)
----------------------------------------------------------------------
Datei: openssh-2.9.9p2-155.i386.rpm
Version: 2.9.9p2
Größe: 1694 kB
Datum: Die 16 Sep 2003 18:08:28 CEST
Source: openssh-2.9.9p2-155.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Sicherheitsupdate für das openssh-Paket - Dieses update behebt einen Fehler
im openssh sshd Serverprogramm, der potentiell einem Angreifer über ein
angeschlossenes Netzwerk Zugriff auf ein System geben kann, welches einen
sshd daemon betreibt (das ist Standardeinstellung) (CAN-2003-0693). Der
laufende sshd daemon-Prozess muß nach dem erfolgreichen Einspielen dieses
Update-Pakets neu gestartet werden. Bitte benutzen Sie dafür folgendes Kommando
als root:
rcsshd restart

Also doch restart, wie auch sonst ;)

[Joe User]

dann macht bitte einen entsprechenden Bugreprt!

[pg-computer]

Hi,

ich werds ihm heut mal sagen ;-)
Er meinte nur, dass er heut Nacht den SourceCode mal angeguckt hat und im Patch wäre wohl wieder ein Overflow drinne, mal schauen...


PS: Zu meinem HowTo fürs Update (SuSE), vielleicht mal den SSHD per rcsshd restart neustarten lassen, schadet auf jeden Fall nicht.

Gruß


Peter

[pg-computer]

Hoi Hoi,

und nochmals gibt es wahrscheinlich für der neuen Sicherheitslücke einen neuen Patch von SuSE:

SuSE 7.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm

SuSE 7.3:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm

SuSE 8.0:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 8.1:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i586.rpm

SuSE 8.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 7.i586.rpm

openssh: Secure Shell Client und Server (Remote Login Programm)
----------------------------------------------------------------------
Datei: openssh-2.9.9p2-156.i386.rpm
Version: 2.9.9p2
Größe: 1710 kB
Datum: Don 18 Sep 2003 12:36:54 CEST
Source: openssh-2.9.9p2-156.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Sicherheitsupdate für das openssh-Paket - Dieses update behebt einen
Fehler im openssh sshd Serverprogramm, der potentiell einem Angreifer über
ein angeschlossenes Netzwerk Zugriff auf ein System geben kann, welches
einen sshd daemon betreibt (das ist Standardeinstellung) (CAN-2003-0693).
Dies ist das zweite Sicherheitsupdate in Kette und behebt auch den Fehler,
der als buffer.c/channels.c bug (CAN-2003-0695, CAN-2003-0682) bekannt
ist.
Der laufende sshd daemon-Prozess muß nach dem erfolgreichen Einspielen
dieses Update-Pakets neu gestartet werden. Bitte benutzen Sie dafür
folgendes Kommando als root:
rcsshd restart



Gruß,

Peter

[fob]

Vielen Dank für die Patches.

[gopha]

3.7.1 ist doch noch die aktuellste, richtig ? ;)

[mweigand]

scheinbar... ich hab den spaß nach anleitung auf suse 8.1 installiert und komm nun nicht mehr drauf
juhu

[root]

hallo, habe das tar packet gesagt, entpackt, configure, make, make install


alles keine probleme, hab die /usr/bin/ssh mit der aktuellen überschrieben, weil nach su root ssh -V die alte version lieferte, dann hab eich den deamon neu gestartet.

jedoch wenn ich ich den banner vom port 22 grabbe, ist immer noch die alte version da, woran liegts?

[jumper]

Blöde Frage:
Hab das RPM Installiert, bekomme mit ssh -V OpenSSH_2.9.9p2 zurück.
Wie sehe ich das ich auf Patchlevel 3.7.1 bin?

Jumper

[pg-computer]

Hoi Hoi,

SuSE pacht nur die Lücken raus, die Versionen bleiben gleich.

Gruß

Peter

[captaincrunch]

Also ich weiß ja nicht, wie ihr das seht, aber ich für meinen Teil pflege mir auch Updates genau anzuschauen, bevor ich sie einspiele, worunter zuallererst mal das jeweilige Changelog fällt, und da stehen genau solche Dinge drin ...

[Joe User]

@CC

Du scherzt, welcher 'Admin' sieht sich schon README, INSTALL, BUGS, LICENSE, Changelog, ... und Patche Dritter an? apt-get install foo, rpm -ivh bar, emerge bla, ... nehmen einem das Lesen, Lernen, Verstehen und Entscheiden doch wunderbar ab...

Gruss,
Mar'SCNR'kus

[dodolin]

@CC

Du scherzt, welcher 'Admin' sieht sich schon README, INSTALL, BUGS, LICENSE, Changelog, ... und Patche Dritter an? apt-get install foo, rpm -ivh bar, emerge bla, ... nehmen einem das Lesen, Lernen, Verstehen und Entscheiden doch wunderbar ab...

Jeder Admin, der was von der Sache versteht und Verantwortung für wichtige oder unwichtige Systeme hat, wird das so machen. Bei Debian geht das ganz easy, wenn man ein einziges mal

Code: Select all

apt-get install apt-listchanges

macht.

Code: Select all

dominik@cheffe:~$ apt-cache show apt-listchanges
Package: apt-listchanges
Priority: optional
Section: utils
Installed-Size: 256
Maintainer: Matt Zimmerman <mdz@debian.org>
Architecture: all
Version: 2.18
Depends: python (>= 2.1), apt (>= 0.5.3), python-apt, debconf
Suggests: x-terminal-emulator, www-browser, debianutils
Filename: pool/main/a/apt-listchanges/apt-listchanges_2.18_all.deb
Size: 37052
MD5sum: b342c920332bd53d2f74d960b893baa8
Description: Display new Debian changelog entries from .deb archives
 apt-listchanges is a tool to show what has been changed in a new
 version of a Debian package, as compared to the version currently
 installed on the system.  It does this by extracting the relevant
 entries from the Debian changelog file, usually found in
 /usr/share/doc/package/changelog.Debian.gz
 .
 It can be run on several .deb archives at a time to get a list of all
 of the changes that would be effected by installing or upgrading a
 group of packages.  It can be configured to do this automatically
 during upgrades using apt.

Auf meiner Workstation mache ich es aber auch nicht. Die ist eh "unstable". ;)

[dea]

Jeder Admin, der was von der Sache versteht und Verantwortung für wichtige oder unwichtige Systeme hat, wird das so machen. Bei Debian geht das ganz easy, [...]

wobei wir bei einer Testumgebung wären ... ;)

Ich wollte es eben mal installieren, hab's dann aber sein lassen weil ich nicht akzeptieren kann, für diese oberflächliche (ich kann ja genausogut die changelogs auch ohne apt-listchanges lesen, wenn auch weniger komfortabel) Arbeitserleichterung einen zusätzlichen (und überflüssigen weil weiters nicht genutzten) Interpreter installieren zu müssen.

Vor allem für uns rooties ist das nicht unerheblich, denn eine echte Testumgebung werden wohl die wenigsten betreiben.

Andererseits (vielleicht stehe ich ja dabei auch alleine) spiele ich ja Updates nicht "einfach so" ein. D.h. entweder habe ich danach gesucht oder ich wurde über die Notwendigkeit/Möglichkeit informiert (Newsletter o.ä.) - der Grund für das Update ist aber bereits bekannt. Wenn ich also noch das changelog lese, dann doch eher, um mich 1. zu vergewissern, dass ich die richtge Version "erwischt habe" (am Beispiel OpenSSH - btw. bei LSH sieht's genauso schlimm aus) und 2. ob vll. noch andere relevante Ã?nderungen eingepflegt wurden.

Das Changelog lässt sich im Allgemeinen online (über die Paketsuche) und offline (unter /usr/share/doc/packages/<paketname> bzw. /usr/share/doc/<paketname>) einsehen. Wo also liegt das Problem?

[dodolin]

Das Changelog lässt sich im Allgemeinen online (über die Paketsuche)

nicht komfortabel.

und offline (unter /usr/share/doc/packages/<paketname> bzw. /usr/share/doc/<paketname>) einsehen. Wo also liegt das Problem?

Aber erst NACH der Installation. Der Witz von apt-listchanges ist aber gerade, dass man CHANGELOG bereits VOR der Installation einsehen kann und man so gegebenenfalls von der Installation nochmals absehen kann, wenn es einem nicht behagt.

Vor allem für uns rooties ist das nicht unerheblich, denn eine echte Testumgebung werden wohl die wenigsten betreiben.

Nuja, kommt auf die Definition von "echt" drauf an. Aber Dinge, die ich als kritisch einschätze, werden hier zuhause vorgetestet.

und 2. ob vll. noch andere relevante Ã?nderungen eingepflegt wurden.

Das ist für mich das Entscheidende. In stable sollte das zwar nicht vorkommen, aber ich habe z.B. auch Backports von fremden Leuten aus unstable/testing drin und da ändert sich durchaus auch mal das Verhalten. Das möchte ich schon gern vorher wissen... ob man z.B. was anpassen muss, etc.

[Joe User]

oops, ich ging davon aus, dass mein SCNR auch ohne gelbes Grinsemännchen entdeckt wird...

[dodolin]

oops, ich ging davon aus, dass mein SCNR auch ohne gelbes Grinsemännchen entdeckt wird...

Ich habe das nicht übersehen, keine Sorge. Aber hier kann man solche Beiträge nicht ohne Klarstellung stehen lassen... es gibt zuviele DAUs, die das ansonsten glauben würden.

[dea]

Hehe - auch ich wollte keine todernste Diskussion hierzu starten ;)

apt-listchanges ist sicherlich eine komfortable Alternative zur Online-Lektüre. In Anbetracht des "required" Python-Interpreters sollte aber jeder für sich entscheiden, ob der Einsatz _auf_dem_rootie_ wirklich so zwingend notwendig ist - oder ob man doch lieber noch mal seinen alten 486er wiederbelebt und mit einem kleinen woody versieht ... ;)

Ich setze apt-listchanges wegen der derzeit laufenden herb chaotischen Restrukturierung meines LANs zunächst nicht ein - sobald ich aber meinen Methusalem reanimiert habe werde ich das Thema noch mal überdenken.

[captaincrunch]

Und weiter geht's :
http://www.openssh.com/txt/sshpam.adv

Wie gut, dass ich heute morgen noch auf meiner OpenBSE-Kiste upgedatet habe. ;)

[gopha]

http://heise.de/newsticker/data/pab-23.09.03-000/
ftp://ftp.openbsd.org/pub/OpenBSD/OpenS ... 1p2.tar.gz

[edit] So Update erfolreich eingespielt, langsam bekomme ich da richtig Erfahrung drinne =)

Ich hab nur ein kleines Problem. Wie kann ich den SSHD unter /usr/local/sbin/sshd neustarten ? rcsshd restart zeigt nen failed an, der versucht den sshd unter /usr/sbin/sshd zu starten. Ist nen bisschen nervig jedesmal nen screen zu öffnen, sshd auf nem weiteren port zu starten und die alten sshds zu killen ;)

[klausi01]

Ich hänge noch am ./configure :

configure: error: OpenSSL version header not found.

Openssl ist aber definitiv installiert :

linux:~/openssh-3.7.1p2-chroot# apt-get install openssl
Reading Package Lists... Done
Building Dependency Tree... Done
Sorry, openssl is already the newest version.
0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Weiss jemand rat ?