OpenSSH 3.7.1 - Update dringend empfohlen

[alexander newald]

Hallo,

und die nächste Version

Beschreibung:
http://cert.uni-stuttgart.de/ticker/art ... p?mid=1147

Source:
ftp://ftp.openbsd.org/pub/OpenBSD/OpenS ... 1p1.tar.gz

[dodolin]

Noch nen Link zum Thema: Die in der CERT-Meldung erwähnten "nicht bestätigten Gerüchte" werden bei Heise etwas kräftiger aufgebauscht: http://www.heise.de/newsticker/data/pab-16.09.03-000/

[cybersmog]

Ich habe Probleme, sowohl das Update von gestern als auch das von heute einzuspielen. Auf meinem 1und1 Server bekomme ich immer diese Fehlermeldung:

Code: Select all

configure: error: *** zlib missing - please install first or check config.log ***

Und das obwohl die zlib eigentlich auf dem Server ist.

Hat jemand einen Tipp für mich?
Schonmal vielen Dank!

[alexander newald]

Wo liegt denn libz.so bei dir?

[cybersmog]

Wo liegt denn libz.so bei dir?

Liegt hier:

Code: Select all

p********:~ # locate libz.so
/lib/libz.so.1
/lib/libz.so.1.1.4

[crasline]

Debian package is auch vor ner Stunde rausgekommen ..

[gamecrash]

Probier mal

Code: Select all

ln -s /lib/libz.so.1 /lib/libz.so
ldconfig

[schl]

habe das update ausgeführt. wenn ich mich jetzt als user xy einlogge erhalte ich bei ssh -V folgende antwort

Code: Select all

OpenSSH_3.7.1p1, SSH protocols 1.5/2.0, OpenSSL 0.9.6g [engine] 9 Aug 2002

mache su root und frage dann nochmal mit ssh -V nach erhalte ich dann diese antwort:

Code: Select all

OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f

woran kann das liegen? habe das file runtergeladen, ./configure -> make -> make install

[darkspirit]

Dann hast du in deinem $PATH wohl als Root ein paar mehr Pfade und in eben einem von denen liegt noch ein altes Binary.. was sagt denn "whereis ssh"?

[schl]

folgendes:

Code: Select all

ssh: /usr/bin/ssh /etc/ssh /usr/lib/ssh /usr/local/bin/ssh /usr/share/man/man1/ssh.1.gz

[dopefish]

und sind /usr/bin/ssh und /usr/local/bin/ssh die gleichen ?

[schl]

nee, sind sie definitiv nicht. unterschiedliches datum und unterschiedliche größe. was ist hier zu tun?

[dopefish]

den löschen den du nicht mehr willst ;)

[schl]

ok, danke für den denkanstoß. bin wohl doch noch etwas "windowsversaut". traue mich nicht immer gleich irgendwelche datein zu löschen :-)

vielen dank jetzt haut es hin

[oxygen]

Du solltest lieber:

Code: Select all

--sysconfdir=/etc/ssh --prefix=/usr

benutzten.

[cybersmog]

Probier mal

Code: Select all

ln -s /lib/libz.so.1 /lib/libz.so
ldconfig

Das hat geholfen. configure ist dann problemlos durchgelaufen. Jetzt bleibe ich allerdings bei make hängen:

Code: Select all

compress.c:141: `Z_PARTIAL_FLUSH' undeclared (first use in this function)
compress.c:143: `Z_OK' undeclared (first use in this function)
compress.c:145: request for member `avail_out' in something not a structure or union
compress.c:147: `Z_BUF_ERROR' undeclared (first use in this function)
make: *** [compress.o] Error 1

Hat da noch jemand eine Idee?

[dodolin]

Nicht zum Problem hier, aber zum aktuellen und anderen OpenSSH-Problemen:
Wenn man diversen Experten in den Newsgruppen glauben darf, dann kann man diese aktuellen Buffer-Overflows wohl nicht wirklich ausnutzen, um Programmcode einzuschleusen. Jedenfalls hat bisher wohl noch keiner eine solche Möglichkeite gefunden.

Allerdings musste ich auch diese Info hier lesen:

P.S.: Es gab da wohl seit zwei Jahren einen Bug in sftp bei OpenSSH,
der Root-Eskalation für normale User erlaubte, und der in 3.6
stillschweigend gefixt wurde. Danke.

Es stellt sich daher die Frage, "wie" stillschweigend das genau war. Vor allem stellt sich mir folgende Frage: Wenn es dazu also kein offizielles Advisory/Announcement gab, dann könnte es gut sein, dass größere Distributionen, die für gewöhnlich nicht immer die neuesten Versionen haben, sondern Security-Fixes auf alte Versionen backporten, dieses Leck nicht gefixed haben. Insofern ist es wohl anzuraten, dass man mit Versionen < 3.6 sftp gegebenenfalls abschaltet, wenn man sich nicht sicher ist, ob das gefixed ist.

[alexander newald]

Wobei ich lieber eine Lücke schliesse bevor es Exploits gibt, als nachträglich zu wissen, dass mein Rechner Wochen offen war/gewesen sein könnte. Ob sich letztendlich die Lücke ausnutzen lässt spielt keine Rolle. Sicherheitsupdates sind dazu da, eingespielt zu werden!

[dodolin]

@Alexander: Das wollte ich mit meiner Aussage auch keinesfalls in Frage stellen. :)

[pg-computer]

Hoi Hoi,

die Files liegen schon auf dem SuSE Server für 7.2 und Co..

SuSE 7.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 7.3:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 8.0:
ftp://ftp.suse.com/pub/suse/i386/update ... 4.i386.rpm

SuSE 8.1:
ftp://ftp.suse.com/pub/suse/i386/update ... 4.i586.rpm

SuSE 8.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i586.rpm

Hab bei mir gepatched (7.2) hat einwandfrei geklappt...

einfach rpm -Uvh ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

oder eben die Version von SuSE die ihr habt... naja hab mir mal den Code angeguckt mit meinem Ausbilder, der meinte, da ist schon die nächste Lücke drinne in dem Patch, wird also nicht lange dauern, gibts den nächsten Patch, ist wieder ein Buffer Overflow drinne.


Bis denne mal,


Peter

PS:

Das steht noch dabei:
openssh: Secure Shell Client und Server (Remote Login Programm)
----------------------------------------------------------------------
Datei: openssh-2.9.9p2-155.i386.rpm
Version: 2.9.9p2
Größe: 1694 kB
Datum: Die 16 Sep 2003 18:08:28 CEST
Source: openssh-2.9.9p2-155.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Sicherheitsupdate für das openssh-Paket - Dieses update behebt einen Fehler
im openssh sshd Serverprogramm, der potentiell einem Angreifer über ein
angeschlossenes Netzwerk Zugriff auf ein System geben kann, welches einen
sshd daemon betreibt (das ist Standardeinstellung) (CAN-2003-0693). Der
laufende sshd daemon-Prozess muß nach dem erfolgreichen Einspielen dieses
Update-Pakets neu gestartet werden. Bitte benutzen Sie dafür folgendes Kommando
als root:
rcsshd restart

Also doch restart, wie auch sonst ;)

[Joe User]

dann macht bitte einen entsprechenden Bugreprt!

[pg-computer]

Hi,

ich werds ihm heut mal sagen ;-)
Er meinte nur, dass er heut Nacht den SourceCode mal angeguckt hat und im Patch wäre wohl wieder ein Overflow drinne, mal schauen...


PS: Zu meinem HowTo fürs Update (SuSE), vielleicht mal den SSHD per rcsshd restart neustarten lassen, schadet auf jeden Fall nicht.

Gruß


Peter

[pg-computer]

Hoi Hoi,

und nochmals gibt es wahrscheinlich für der neuen Sicherheitslücke einen neuen Patch von SuSE:

SuSE 7.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm

SuSE 7.3:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm

SuSE 8.0:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 8.1:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i586.rpm

SuSE 8.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 7.i586.rpm

openssh: Secure Shell Client und Server (Remote Login Programm)
----------------------------------------------------------------------
Datei: openssh-2.9.9p2-156.i386.rpm
Version: 2.9.9p2
Größe: 1710 kB
Datum: Don 18 Sep 2003 12:36:54 CEST
Source: openssh-2.9.9p2-156.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Sicherheitsupdate für das openssh-Paket - Dieses update behebt einen
Fehler im openssh sshd Serverprogramm, der potentiell einem Angreifer über
ein angeschlossenes Netzwerk Zugriff auf ein System geben kann, welches
einen sshd daemon betreibt (das ist Standardeinstellung) (CAN-2003-0693).
Dies ist das zweite Sicherheitsupdate in Kette und behebt auch den Fehler,
der als buffer.c/channels.c bug (CAN-2003-0695, CAN-2003-0682) bekannt
ist.
Der laufende sshd daemon-Prozess muß nach dem erfolgreichen Einspielen
dieses Update-Pakets neu gestartet werden. Bitte benutzen Sie dafür
folgendes Kommando als root:
rcsshd restart



Gruß,

Peter

[fob]

Vielen Dank für die Patches.

[gopha]

3.7.1 ist doch noch die aktuellste, richtig ? ;)