OpenSSH 3.7.1 - Update dringend empfohlen

Rund um die Sicherheit des Systems und die Applikationen
alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

OpenSSH 3.7.1 - Update dringend empfohlen

Post by alexander newald » 2003-09-17 12:27


dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by dodolin » 2003-09-17 12:41

Noch nen Link zum Thema: Die in der CERT-Meldung erwähnten "nicht bestätigten Gerüchte" werden bei Heise etwas kräftiger aufgebauscht: http://www.heise.de/newsticker/data/pab-16.09.03-000/

cybersmog
Posts: 78
Joined: 2003-09-17 12:38
Location: Bayern

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by cybersmog » 2003-09-17 12:56

Ich habe Probleme, sowohl das Update von gestern als auch das von heute einzuspielen. Auf meinem 1und1 Server bekomme ich immer diese Fehlermeldung:

Code: Select all

configure: error: *** zlib missing - please install first or check config.log ***
Und das obwohl die zlib eigentlich auf dem Server ist.

Hat jemand einen Tipp für mich?
Schonmal vielen Dank!

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by alexander newald » 2003-09-17 14:11

Wo liegt denn libz.so bei dir?

cybersmog
Posts: 78
Joined: 2003-09-17 12:38
Location: Bayern

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by cybersmog » 2003-09-17 14:13

Alexander Newald wrote:Wo liegt denn libz.so bei dir?
Liegt hier:

Code: Select all

p********:~ # locate libz.so
/lib/libz.so.1
/lib/libz.so.1.1.4

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by crasline » 2003-09-17 14:21

Debian package is auch vor ner Stunde rausgekommen ..

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by gamecrash » 2003-09-17 15:49

Probier mal

Code: Select all

ln -s /lib/libz.so.1 /lib/libz.so
ldconfig

schl
Posts: 343
Joined: 2003-02-05 11:26
Location: München/Unterschleißheim

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by schl » 2003-09-17 18:11

habe das update ausgeführt. wenn ich mich jetzt als user xy einlogge erhalte ich bei ssh -V folgende antwort

Code: Select all

OpenSSH_3.7.1p1, SSH protocols 1.5/2.0, OpenSSL 0.9.6g [engine] 9 Aug 2002
mache su root und frage dann nochmal mit ssh -V nach erhalte ich dann diese antwort:

Code: Select all

OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
woran kann das liegen? habe das file runtergeladen, ./configure -> make -> make install

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by darkspirit » 2003-09-17 18:56

Dann hast du in deinem $PATH wohl als Root ein paar mehr Pfade und in eben einem von denen liegt noch ein altes Binary.. was sagt denn "whereis ssh"?

schl
Posts: 343
Joined: 2003-02-05 11:26
Location: München/Unterschleißheim

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by schl » 2003-09-17 19:38

folgendes:

Code: Select all

ssh: /usr/bin/ssh /etc/ssh /usr/lib/ssh /usr/local/bin/ssh /usr/share/man/man1/ssh.1.gz

dopefish
Posts: 142
Joined: 2003-02-06 12:57
Location: Karlsruhe

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by dopefish » 2003-09-17 19:55

und sind /usr/bin/ssh und /usr/local/bin/ssh die gleichen ?

schl
Posts: 343
Joined: 2003-02-05 11:26
Location: München/Unterschleißheim

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by schl » 2003-09-17 19:58

nee, sind sie definitiv nicht. unterschiedliches datum und unterschiedliche größe. was ist hier zu tun?

dopefish
Posts: 142
Joined: 2003-02-06 12:57
Location: Karlsruhe

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by dopefish » 2003-09-17 20:04

den löschen den du nicht mehr willst ;)

schl
Posts: 343
Joined: 2003-02-05 11:26
Location: München/Unterschleißheim

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by schl » 2003-09-17 20:07

ok, danke für den denkanstoß. bin wohl doch noch etwas "windowsversaut". traue mich nicht immer gleich irgendwelche datein zu löschen :-)

vielen dank jetzt haut es hin

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by oxygen » 2003-09-17 20:33

Du solltest lieber:

Code: Select all

--sysconfdir=/etc/ssh --prefix=/usr
benutzten.

cybersmog
Posts: 78
Joined: 2003-09-17 12:38
Location: Bayern

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by cybersmog » 2003-09-17 23:05

GameCrash wrote:Probier mal

Code: Select all

ln -s /lib/libz.so.1 /lib/libz.so
ldconfig
Das hat geholfen. configure ist dann problemlos durchgelaufen. Jetzt bleibe ich allerdings bei make hängen:

Code: Select all

compress.c:141: `Z_PARTIAL_FLUSH' undeclared (first use in this function)
compress.c:143: `Z_OK' undeclared (first use in this function)
compress.c:145: request for member `avail_out' in something not a structure or union
compress.c:147: `Z_BUF_ERROR' undeclared (first use in this function)
make: *** [compress.o] Error 1
Hat da noch jemand eine Idee?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by dodolin » 2003-09-18 03:08

Nicht zum Problem hier, aber zum aktuellen und anderen OpenSSH-Problemen:
Wenn man diversen Experten in den Newsgruppen glauben darf, dann kann man diese aktuellen Buffer-Overflows wohl nicht wirklich ausnutzen, um Programmcode einzuschleusen. Jedenfalls hat bisher wohl noch keiner eine solche Möglichkeite gefunden.

Allerdings musste ich auch diese Info hier lesen:
Andreas Bogk wrote:P.S.: Es gab da wohl seit zwei Jahren einen Bug in sftp bei OpenSSH,
der Root-Eskalation für normale User erlaubte, und der in 3.6
stillschweigend gefixt wurde. Danke.
Es stellt sich daher die Frage, "wie" stillschweigend das genau war. Vor allem stellt sich mir folgende Frage: Wenn es dazu also kein offizielles Advisory/Announcement gab, dann könnte es gut sein, dass größere Distributionen, die für gewöhnlich nicht immer die neuesten Versionen haben, sondern Security-Fixes auf alte Versionen backporten, dieses Leck nicht gefixed haben. Insofern ist es wohl anzuraten, dass man mit Versionen < 3.6 sftp gegebenenfalls abschaltet, wenn man sich nicht sicher ist, ob das gefixed ist.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by alexander newald » 2003-09-18 11:24

Wobei ich lieber eine Lücke schliesse bevor es Exploits gibt, als nachträglich zu wissen, dass mein Rechner Wochen offen war/gewesen sein könnte. Ob sich letztendlich die Lücke ausnutzen lässt spielt keine Rolle. Sicherheitsupdates sind dazu da, eingespielt zu werden!

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by dodolin » 2003-09-18 12:18

@Alexander: Das wollte ich mit meiner Aussage auch keinesfalls in Frage stellen. :)

pg-computer
Posts: 144
Joined: 2002-09-27 19:28
Location: Drebach / Erzgebirge

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by pg-computer » 2003-09-18 15:59

Hoi Hoi,

die Files liegen schon auf dem SuSE Server für 7.2 und Co..

SuSE 7.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 7.3:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 8.0:
ftp://ftp.suse.com/pub/suse/i386/update ... 4.i386.rpm

SuSE 8.1:
ftp://ftp.suse.com/pub/suse/i386/update ... 4.i586.rpm

SuSE 8.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i586.rpm

Hab bei mir gepatched (7.2) hat einwandfrei geklappt...

einfach rpm -Uvh ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

oder eben die Version von SuSE die ihr habt... naja hab mir mal den Code angeguckt mit meinem Ausbilder, der meinte, da ist schon die nächste Lücke drinne in dem Patch, wird also nicht lange dauern, gibts den nächsten Patch, ist wieder ein Buffer Overflow drinne.


Bis denne mal,


Peter

PS:

Das steht noch dabei:
openssh: Secure Shell Client und Server (Remote Login Programm)
----------------------------------------------------------------------
Datei: openssh-2.9.9p2-155.i386.rpm
Version: 2.9.9p2
Größe: 1694 kB
Datum: Die 16 Sep 2003 18:08:28 CEST
Source: openssh-2.9.9p2-155.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Sicherheitsupdate für das openssh-Paket - Dieses update behebt einen Fehler
im openssh sshd Serverprogramm, der potentiell einem Angreifer über ein
angeschlossenes Netzwerk Zugriff auf ein System geben kann, welches einen
sshd daemon betreibt (das ist Standardeinstellung) (CAN-2003-0693). Der
laufende sshd daemon-Prozess muß nach dem erfolgreichen Einspielen dieses
Update-Pakets neu gestartet werden. Bitte benutzen Sie dafür folgendes Kommando
als root:
rcsshd restart

Also doch restart, wie auch sonst ;)
Last edited by pg-computer on 2003-09-18 16:17, edited 1 time in total.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by Joe User » 2003-09-18 16:07

dann macht bitte einen entsprechenden Bugreprt!

pg-computer
Posts: 144
Joined: 2002-09-27 19:28
Location: Drebach / Erzgebirge

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by pg-computer » 2003-09-18 16:11

Hi,

ich werds ihm heut mal sagen ;-)
Er meinte nur, dass er heut Nacht den SourceCode mal angeguckt hat und im Patch wäre wohl wieder ein Overflow drinne, mal schauen...


PS: Zu meinem HowTo fürs Update (SuSE), vielleicht mal den SSHD per rcsshd restart neustarten lassen, schadet auf jeden Fall nicht.

Gruß


Peter

pg-computer
Posts: 144
Joined: 2002-09-27 19:28
Location: Drebach / Erzgebirge

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by pg-computer » 2003-09-18 20:45

Hoi Hoi,

und nochmals gibt es wahrscheinlich für der neuen Sicherheitslücke einen neuen Patch von SuSE:

SuSE 7.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm

SuSE 7.3:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm

SuSE 8.0:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm

SuSE 8.1:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i586.rpm

SuSE 8.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 7.i586.rpm

openssh: Secure Shell Client und Server (Remote Login Programm)
----------------------------------------------------------------------
Datei: openssh-2.9.9p2-156.i386.rpm
Version: 2.9.9p2
Größe: 1710 kB
Datum: Don 18 Sep 2003 12:36:54 CEST
Source: openssh-2.9.9p2-156.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Sicherheitsupdate für das openssh-Paket - Dieses update behebt einen
Fehler im openssh sshd Serverprogramm, der potentiell einem Angreifer über
ein angeschlossenes Netzwerk Zugriff auf ein System geben kann, welches
einen sshd daemon betreibt (das ist Standardeinstellung) (CAN-2003-0693).
Dies ist das zweite Sicherheitsupdate in Kette und behebt auch den Fehler,
der als buffer.c/channels.c bug (CAN-2003-0695, CAN-2003-0682) bekannt
ist.
Der laufende sshd daemon-Prozess muß nach dem erfolgreichen Einspielen
dieses Update-Pakets neu gestartet werden. Bitte benutzen Sie dafür
folgendes Kommando als root:
rcsshd restart



Gruß,

Peter

fob
Posts: 18
Joined: 2003-05-01 00:37

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by fob » 2003-09-18 21:48

Vielen Dank für die Patches.

gopha
Posts: 26
Joined: 2003-02-24 10:02

Re: OpenSSH 3.7.1 - Update dringend empfohlen

Post by gopha » 2003-09-19 01:13

3.7.1 ist doch noch die aktuellste, richtig ? ;)