Gerücht über SSH-Problem

Rund um die Sicherheit des Systems und die Applikationen
debianfan
Posts: 165
Joined: 2002-08-17 18:40

Gerücht über SSH-Problem

Post by debianfan » 2009-07-08 17:21

Hallo zusammen,

hat einer von Euch den Beitrag

http://isc.sans.org/diary.html?storyid=6742

gelesen?

Meinungen ?

Gegenmaßnahmen ?

gruß

Sebastian

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Gerücht über SSH-Problem

Post by daemotron » 2009-07-08 20:58

Es betrifft "nur" RHEL bzw. CentOS. Dämlicherweise hilft ein Upgrade nicht, da auch die letzte Version (gecheckt bei CentOS 5.3) noch die betroffene OpenSSH-Version 4.3 enthält.

Wer einen Server mit RHEL oder CentOS betreibt und den sshd nicht vorübergehend abschalten kann (z. B. weil kein KVM-/Remote Console Zugriff besteht), hat drei Möglichkeiten:

  1. OpenSSH hier herunterladen (darauf achten, eine portable Version zu nehmen - also z. B. die aktuelle 5.2p1) und selbst kompilieren
  2. Den OpenSSHd von RHEL/CentOS beibehalten, aber den Zugang per Portknocking verbarrikadieren (vorsicht dabei, sperrt Euch nicht selber aus!)
  3. Nix tun und beten, dass es nur ein Gerücht bleibt oder es zumindest den eigenen Server nicht erwischt.
Noch habe ich sie nicht gesehen, aber ich bin sicher, in kürze werden aktuellere OpenSSH-Pakete für RHEL und CentOS auf diversen Seiten zum Download angeboten. Bei diesen Downloads würde ich allerdings zu doppelter und dreifacher Vorsicht raten - es ist nicht auszuschließen, dass unter diesen Third Party Packages auch welche stecken, die eine Backdoor fertig eingebaut haben.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: Gerücht über SSH-Problem

Post by rudelgurke » 2009-07-10 16:46

Gibt wohl Vermutungen es würde sich um Bruteforce Angriffe handeln, nur naja - "better safe than sorry" und patchen wäre wohl die beste Wahl.

http://romeo.copyandpaste.info/txt/astalavista.txt
http://romeo.copyandpaste.info/txt/nowayout.txt

Soll wohl die gleiche Person sein die diesen Fehler bekannt gemacht hat, ohne nähere Aussagen. Ganz ähnlich wie in den beiden Links - was immer man davon halten mag