Page 1 of 2
OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 12:27
by alexander newald
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 12:41
by dodolin
Noch nen Link zum Thema: Die in der CERT-Meldung erwähnten "nicht bestätigten Gerüchte" werden bei Heise etwas kräftiger aufgebauscht:
http://www.heise.de/newsticker/data/pab-16.09.03-000/
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 12:56
by cybersmog
Ich habe Probleme, sowohl das Update von gestern als auch das von heute einzuspielen. Auf meinem 1und1 Server bekomme ich immer diese Fehlermeldung:
Code: Select all
configure: error: *** zlib missing - please install first or check config.log ***
Und das obwohl die zlib eigentlich auf dem Server ist.
Hat jemand einen Tipp für mich?
Schonmal vielen Dank!
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 14:11
by alexander newald
Wo liegt denn libz.so bei dir?
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 14:13
by cybersmog
Alexander Newald wrote:Wo liegt denn libz.so bei dir?
Liegt hier:
Code: Select all
p********:~ # locate libz.so
/lib/libz.so.1
/lib/libz.so.1.1.4
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 14:21
by crasline
Debian package is auch vor ner Stunde rausgekommen ..
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 15:49
by gamecrash
Probier mal
Code: Select all
ln -s /lib/libz.so.1 /lib/libz.so
ldconfig
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 18:11
by schl
habe das update ausgeführt. wenn ich mich jetzt als user xy einlogge erhalte ich bei ssh -V folgende antwort
Code: Select all
OpenSSH_3.7.1p1, SSH protocols 1.5/2.0, OpenSSL 0.9.6g [engine] 9 Aug 2002
mache su root und frage dann nochmal mit ssh -V nach erhalte ich dann diese antwort:
Code: Select all
OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
woran kann das liegen? habe das file runtergeladen, ./configure -> make -> make install
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 18:56
by darkspirit
Dann hast du in deinem $PATH wohl als Root ein paar mehr Pfade und in eben einem von denen liegt noch ein altes Binary.. was sagt denn "whereis ssh"?
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 19:38
by schl
folgendes:
Code: Select all
ssh: /usr/bin/ssh /etc/ssh /usr/lib/ssh /usr/local/bin/ssh /usr/share/man/man1/ssh.1.gz
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 19:55
by dopefish
und sind /usr/bin/ssh und /usr/local/bin/ssh die gleichen ?
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 19:58
by schl
nee, sind sie definitiv nicht. unterschiedliches datum und unterschiedliche größe. was ist hier zu tun?
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 20:04
by dopefish
den löschen den du nicht mehr willst ;)
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 20:07
by schl
ok, danke für den denkanstoß. bin wohl doch noch etwas "windowsversaut". traue mich nicht immer gleich irgendwelche datein zu löschen :-)
vielen dank jetzt haut es hin
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 20:33
by oxygen
Du solltest lieber:
Code: Select all
--sysconfdir=/etc/ssh --prefix=/usr
benutzten.
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-17 23:05
by cybersmog
GameCrash wrote:Probier mal
Code: Select all
ln -s /lib/libz.so.1 /lib/libz.so
ldconfig
Das hat geholfen. configure ist dann problemlos durchgelaufen. Jetzt bleibe ich allerdings bei make hängen:
Code: Select all
compress.c:141: `Z_PARTIAL_FLUSH' undeclared (first use in this function)
compress.c:143: `Z_OK' undeclared (first use in this function)
compress.c:145: request for member `avail_out' in something not a structure or union
compress.c:147: `Z_BUF_ERROR' undeclared (first use in this function)
make: *** [compress.o] Error 1
Hat da noch jemand eine Idee?
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-18 03:08
by dodolin
Nicht zum Problem hier, aber zum aktuellen und anderen OpenSSH-Problemen:
Wenn man diversen Experten in den Newsgruppen glauben darf, dann kann man diese aktuellen Buffer-Overflows wohl nicht wirklich ausnutzen, um Programmcode einzuschleusen. Jedenfalls hat bisher wohl noch keiner eine solche Möglichkeite gefunden.
Allerdings musste ich auch diese Info hier lesen:
Andreas Bogk wrote:P.S.: Es gab da wohl seit zwei Jahren einen Bug in sftp bei OpenSSH,
der Root-Eskalation für normale User erlaubte, und der in 3.6
stillschweigend gefixt wurde. Danke.
Es stellt sich daher die Frage, "wie" stillschweigend das genau war. Vor allem stellt sich mir folgende Frage: Wenn es dazu also kein offizielles Advisory/Announcement gab, dann könnte es gut sein, dass größere Distributionen, die für gewöhnlich nicht immer die neuesten Versionen haben, sondern Security-Fixes auf alte Versionen backporten, dieses Leck nicht gefixed haben. Insofern ist es wohl anzuraten, dass man mit Versionen < 3.6 sftp gegebenenfalls abschaltet, wenn man sich nicht sicher ist, ob das gefixed ist.
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-18 11:24
by alexander newald
Wobei ich lieber eine Lücke schliesse bevor es Exploits gibt, als nachträglich zu wissen, dass mein Rechner Wochen offen war/gewesen sein könnte. Ob sich letztendlich die Lücke ausnutzen lässt spielt keine Rolle. Sicherheitsupdates sind dazu da, eingespielt zu werden!
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-18 12:18
by dodolin
@Alexander: Das wollte ich mit meiner Aussage auch keinesfalls in Frage stellen. :)
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-18 15:59
by pg-computer
Hoi Hoi,
die Files liegen schon auf dem SuSE Server für 7.2 und Co..
SuSE 7.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm
SuSE 7.3:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm
SuSE 8.0:
ftp://ftp.suse.com/pub/suse/i386/update ... 4.i386.rpm
SuSE 8.1:
ftp://ftp.suse.com/pub/suse/i386/update ... 4.i586.rpm
SuSE 8.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i586.rpm
Hab bei mir gepatched (7.2) hat einwandfrei geklappt...
einfach rpm -Uvh
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm
oder eben die Version von SuSE die ihr habt... naja hab mir mal den Code angeguckt mit meinem Ausbilder, der meinte, da ist schon die nächste Lücke drinne in dem Patch, wird also nicht lange dauern, gibts den nächsten Patch, ist wieder ein Buffer Overflow drinne.
Bis denne mal,
Peter
PS:
Das steht noch dabei:
openssh: Secure Shell Client und Server (Remote Login Programm)
----------------------------------------------------------------------
Datei: openssh-2.9.9p2-155.i386.rpm
Version: 2.9.9p2
Größe: 1694 kB
Datum: Die 16 Sep 2003 18:08:28 CEST
Source: openssh-2.9.9p2-155.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Sicherheitsupdate für das openssh-Paket - Dieses update behebt einen Fehler
im openssh sshd Serverprogramm, der potentiell einem Angreifer über ein
angeschlossenes Netzwerk Zugriff auf ein System geben kann, welches einen
sshd daemon betreibt (das ist Standardeinstellung) (CAN-2003-0693). Der
laufende sshd daemon-Prozess muß nach dem erfolgreichen Einspielen dieses
Update-Pakets neu gestartet werden. Bitte benutzen Sie dafür folgendes Kommando
als root:
rcsshd restart
Also doch restart, wie auch sonst ;)
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-18 16:07
by Joe User
dann macht bitte einen entsprechenden Bugreprt!
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-18 16:11
by pg-computer
Hi,
ich werds ihm heut mal sagen ;-)
Er meinte nur, dass er heut Nacht den SourceCode mal angeguckt hat und im Patch wäre wohl wieder ein Overflow drinne, mal schauen...
PS: Zu meinem HowTo fürs Update (SuSE), vielleicht mal den SSHD per rcsshd restart neustarten lassen, schadet auf jeden Fall nicht.
Gruß
Peter
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-18 20:45
by pg-computer
Hoi Hoi,
und nochmals gibt es wahrscheinlich für der neuen Sicherheitslücke einen neuen Patch von SuSE:
SuSE 7.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm
SuSE 7.3:
ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm
SuSE 8.0:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i386.rpm
SuSE 8.1:
ftp://ftp.suse.com/pub/suse/i386/update ... 5.i586.rpm
SuSE 8.2:
ftp://ftp.suse.com/pub/suse/i386/update ... 7.i586.rpm
openssh: Secure Shell Client und Server (Remote Login Programm)
----------------------------------------------------------------------
Datei: openssh-2.9.9p2-156.i386.rpm
Version: 2.9.9p2
Größe: 1710 kB
Datum: Don 18 Sep 2003 12:36:54 CEST
Source: openssh-2.9.9p2-156.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Sicherheitsupdate für das openssh-Paket - Dieses update behebt einen
Fehler im openssh sshd Serverprogramm, der potentiell einem Angreifer über
ein angeschlossenes Netzwerk Zugriff auf ein System geben kann, welches
einen sshd daemon betreibt (das ist Standardeinstellung) (CAN-2003-0693).
Dies ist das zweite Sicherheitsupdate in Kette und behebt auch den Fehler,
der als buffer.c/channels.c bug (CAN-2003-0695, CAN-2003-0682) bekannt
ist.
Der laufende sshd daemon-Prozess muß nach dem erfolgreichen Einspielen
dieses Update-Pakets neu gestartet werden. Bitte benutzen Sie dafür
folgendes Kommando als root:
rcsshd restart
Gruß,
Peter
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-18 21:48
by fob
Vielen Dank für die Patches.
Re: OpenSSH 3.7.1 - Update dringend empfohlen
Posted: 2003-09-19 01:13
by gopha
3.7.1 ist doch noch die aktuellste, richtig ? ;)