[marczi]

Ki mit tud errol?
[url="http://"http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102495293705094&w=4"]http://marc.theaimsg...95293705094&w=4[/url]

[marczi]

Azota Debian Woody-ra tegnap ejjel uj sshd jott ki.

[roberto]

igen... már kicsit utána is olvastam, de állítólag a 3.3-as openssh sem védett, tehát minden eddigi létezõ verzióhoz csak workaround van. a legtisztább dolog lekapcsolni az ssh-t vagy kitûzfalazni, amíg nincs megoldás. a bugról pontos részleteket még nem lehet tudni, délután lesz belõle hír a hwswn is... érdekes sztorik vannak a háttérben.

[lameXpert]

Azért njem semmi, a hiba mibenlétét még nem tudjuk pontosan, de a hiba bejelentését már megterveztük a jövõ heti programban

[roberto]

igen az ember akár be is írhatja a jövõ heti naptárba, hogy ütemezett sshd update

de még mindig jobb elõre tudni, hogy vsz gáz van, mint utólag olvasni a logból, vagy a log hiányából

[Jahno]

idézet:

---

Ezt írta roberto:

de még mindig jobb elõre tudni, hogy vsz gáz van, mint utólag olvasni a logból, vagy a log hiányából [/quote]

Hmmm... Személyes kérdés, szigorúan szakmai. Ha már házigazda, meg roberto, akkor Te nem a Fertõszentmiklós-környéki roberto vagy véletlenül?

[roberto]

idézet:

---

Hmmm... Személyes kérdés, szigorúan szakmai. Ha már házigazda, meg roberto, akkor Te nem a Fertõszentmiklós-környéki roberto vagy véletlenül?[/quote]

nem, délvidéki vagyok, pécs és szeged utcáin szoktam felbukkanni.

[Csibi]

Egy kis idézet a hibáról és a használható workaroundokról:

-----------------------------------------------
Hi,

Kint van a mirrorokon is az OpenSSH legutolso (3.3-as) verzioja, amire javasolt upgrade-elni. A cucc egyenlore CSAK es kizarolag Potato security updates-ben van jelen, tehat ami tegnap kijott javitas openssl/openssh-ra SID-be, az nem oldott meg semmit, mint ahogy ez a verzio sem oldja meg a hibat, ellenben ez a 3.3-as verzio tartalmaz egy feature-t, amivel csokkenteni lehet a hiba hatasat.

az sshd_config file vegere ezt kell tenni:

UsePrivilegeSeparation yes

Ismetlem, ez csak workaround, nem oldja meg a problemat.

A teljes cikk elolvashato itt:
[url="http://"http://online.securityfocus.com/archive/1/278755/2002-06-23/2002-06-29/0"]http://online.securi...23/2002-06-29/0[/url]


--
KAISER Laszlo - Senior IT Security Consultant
SaveAs Ltd. - [url="http://"http://www.saveas.hu"]http://www.saveas.hu[/url]
------------------------------------------------------

[marczi]

A UsePrivilegeSeparation-t nem kell a konfigba beirni, mert a 3.3-tol kezdve alapbol engedelyezve van. Mivel ez is csak egy workaround, egyaltalan nem biztos, hogy barmitol is biztosan megved... Szerintem holnap-holnaputanig erdemes tiltani az ssh-t, aztan meg majd meglatjuk. Egyebkent woody-hoz is van javitas.

Na sebaj, jobb elore tudni, mint utolag meglepodni

[KharpeeT]

Udv

Kijott egy advisory, meg theo bejelentese elott... megtalaltak kozben, igy, hogy tudtak van mit keresni.

A leiras szerint a kovetkezo beallitas megoldja a problemat (sshd_config):

ChallengeResponseAuthentication no

Jelzem, hogy ez pl debianon nincs beleforgatva, mivel pammal nemigazan mukodik, tehat elvileg nem is hasznalhato ki ez a hiba. Bsd-ken hasznalatban van alapertelmezettkent.


(lehetseges, hogy iss-ek masik bugot talaltak volna? -- potato frissites pl... )

[ 2002. június 26.: KharpeeT szerkesztette a hozzászólást ]