Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-05-19 20:49:48

  davidoski - Użytkownik

davidoski
Użytkownik
Skąd: Poznań
Zarejestrowany: 2007-04-17

Luka!

Offline

 

#2  2008-05-19 20:57:00

  AgayKhan - Członek DUG

AgayKhan
Członek DUG
Skąd: Płock
Zarejestrowany: 2006-03-21
Serwis

Re: Luka!

Obciach i tyle.


born to be root
linux register user #362473

Offline

 

#3  2008-05-19 21:01:39

  skotx - Członek DUG

skotx
Członek DUG
Skąd: Olkusz
Zarejestrowany: 2008-01-22

Re: Luka!

A ja bym powiedział, że nawet najlepszym się zdarza ;)


Jeśli mam wysłuchiwać czyichś poglądów, to niech będą one wypowiedziane w formie twierdzącej, wątpliwości sam mam dosyć.

Offline

 

#4  2008-05-19 21:10:20

  BlackEvo - Driver

BlackEvo
Driver
Skąd: Polska
Zarejestrowany: 2006-05-20

Re: Luka!

No coz... mowi sie trudno. Nic nie jest doskonale na tym swiecie

P.S.
Tylko czekac az sie odezwa fani Gentoo! :D

Pozdrawiam

Offline

 

#5  2008-05-19 21:15:12

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: Luka!

serwer DUG'a stoi na Gentoo


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
http://www.freebsd.org/gifs/powerlogo.gif
Beskid Niski

Offline

 

#6  2008-05-19 21:31:39

  davidoski - Użytkownik

davidoski
Użytkownik
Skąd: Poznań
Zarejestrowany: 2007-04-17

Re: Luka!

Może trzeba założyć teraz GUG, Gentoo Users Gang? Mam już pomysł na pierwszy topik: "Chcesz zostać GUG-usiem, a nie wiesz jak?

Offline

 

#7  2008-05-19 21:43:16

  Piotr3ks - Też człowiek :-)

Piotr3ks
Też człowiek :-)
Zarejestrowany: 2007-06-24

Re: Luka!

Nie ma co się dziwić :) Nie ma systemów idealnych . Błąd naprawiony. Nie ma co się martwić.

[OT]Mówcie co chcecie, ale niektóre komentarze z "dobreprogramy.pl" są wręcz żałosne. Mam tu na myśli - "  upadek mitu o bezpieczeństwie Linuksa "
Ciekawe, ile osób, które skomentowały te newsy tak naprawdę wiedzą na czym polegała luka :( [/OT]

Offline

 

#8  2008-05-19 21:50:30

  davidoski - Użytkownik

davidoski
Użytkownik
Skąd: Poznań
Zarejestrowany: 2007-04-17

Re: Luka!

No ja sam nie wiem na czym ona polega :lol:

Offline

 

#9  2008-05-19 21:51:36

  BlackEvo - Driver

BlackEvo
Driver
Skąd: Polska
Zarejestrowany: 2006-05-20

Re: Luka!

Bodzio napisał(-a):

serwer DUG'a stoi na Gentoo

To wiem i wcale nie mam nic przeciwko.  :)

Offline

 

#10  2008-05-19 21:54:51

  Piotr3ks - Też człowiek :-)

Piotr3ks
Też człowiek :-)
Zarejestrowany: 2007-06-24

Re: Luka!

Piotr3ks napisał(-a):

Ciekawe, ile osób, które skomentowały te newsy tak naprawdę wiedzą na czym polegała luka :(

W ramach niejasności - miałem na myśli tych z "dobreprogramy.pl" :)

Ostatnio edytowany przez Piotr3ks (2008-05-19 21:55:08)

Offline

 

#11  2008-05-19 23:01:21

  k4misiek - Green Reaper

k4misiek
Green Reaper
Skąd: Poznań
Zarejestrowany: 2006-11-11

Re: Luka!

Piotr3ks napisał(-a):

Błąd naprawiony. Nie ma co się martwić.

Ten błąd był naprawiany kilka razy i nie tylko  Linuksa on dotyczy. Problem istnieje dalej włączając w to inne systemy niż Debiano-pochodne, jeżeli skopiowano na nie dane zabezpieczone kluczami wygenerowanymi przez Debiana.


You are registered as user #464141 with the Linux Counter

Offline

 

#12  2008-05-20 00:18:15

  marcusdavidus - Członek DUG

marcusdavidus
Członek DUG
Skąd: z nienacka
Zarejestrowany: 2006-09-08
Serwis

Re: Luka!

nie no , dali do pieca jak djabli :( btw a czy wpominalem ze gentoo nie ma tego problemu ?? ROTFL


http://i32.photobucket.com/albums/d33/marcusdavidus/marcussyg.png
C2D E8400, Asus P5N7A-VM, 2x 1gb DDR2 OCZ Reaper 1066, Baracuda 500GB S12 SataII,PSU OCZ stealthXstream 500W, Cooler Asus Triton 77, Buda Cooler Master Elite ,Keys  A4T X7 , Mysz A4T X7 , creative HD1900, Zotac GTX260 AMP2 core 216,Oczka Dell P1130 FD Trinitron

Offline

 

#13  2008-05-20 02:35:09

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Luka!

0.9.8c-4etch1 czy mam rozumieć że w tej paczce błąd jest naprawiony?? A co do komentarzy to nigdy nie czytam, szkoda się denerwować, wolę poczytać artykuł, ocenić po swojemu albo i nie oceniać ;) A wpadki zdarzają się każdemu nawet zawodowcy miewają kontuzję. Trudno było minęło. Najwyżej cały świat stanie w płomieniach i może wreszcie wypuszczą nas z Matrix'a :D:D


LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#14  2008-05-20 11:38:23

  harry666t - Członek DUG

harry666t
Członek DUG
Zarejestrowany: 2007-01-28

Re: Luka!

ekhm, tutaj trzeba ludzi oświecić.

To jest błąd w paczce Debiana, ale propaguje się na *wszystko* czego ta paczka dotyka. a dotyka przede wszystkim certyfikatów oraz kluczy do SSH. Powiem nawet, że w chwili gdy Debian wydał swoje poprawki, stał się systemem *najmniej* podatnym na ten błąd.

Oto krótsza wersja: wszystkie klucze generowane przez paczkę openssl mniej więcej od września 2006 do chwili wydania poprawki parę dni temu są bardzo mało losowe. Błąd dotyczy Etcha, Lenny'ego i Sida (Sarge'a nie). Pula tych kluczy jest tak niewielka (około 32000 kluczy), że na dobrym sprzęcie można wszystkie te klucze wygenerować w kilka godzin. W praktyce oznacza to, że jeśli do jakiegoś systemu można zalogować się korzystając z klucza wygenerowanego na Debianie - krótki brute force (możliwe że wystarczy kilkanaście minut do paru godzin przy dobrym łączu) i jest włam. Poza tym, jeżeli ktoś łączył się DO skrzynki stojącej na Debianie (z czego - nieważne), a ktoś inny nagrał sesję, posiadając owe klucze będzie w stanie ją rozszyfrować i np. zdobyć hasło umożliwiające logowanie się w danym systemie.

Jak naprawiamy: po pierwsze, robimy dist-upgrade. Powinno to wciągnąć "na pokład" naszego systemu blacklistę wszystkich skompromitowanych kluczy. To już sporo. Dla nie-Debiana: Przeglądamy ~/.ssh/known_hosts i wywalamy odciski maszyn z Debianem - oczywiście tych, którym odcisk z oczywistych powodów zmienił się już na nowy, "dobry". Następnie przeglądamy system w poszukiwaniu skompromitowanych kluczy (:P), i pozbywamy się ich (gdzieś latał po sieci program w perlu, który porównywał odciski - miał zamieszczoną wygenerowaną wcześniej listę tych kluczy - ma on 10 mb, co daje do myślenia, jak niewiele tych kluczy jest). Następnie odwołujemy wszystkie wygenerowane w tamtym czasie certyfikaty SSL - generujemy w ich miejsce nowe, z tymi samymi danymi, i dajemy do ponownego podpisania przez nasz urząd certyfikacyjny (jeśli nie siedzą w nim same ch*jolizy, ponowny podpis mamy raczej za free).

Powtarzam: BŁĄD NIE DOTYCZY JEDYNIE DEBIANA, i na Debianie jest już raczej rozwiązany (aczkolwiek polecam poczytać wszystkie posty na Debian Planet dotyczące tego tematu sprzed ostatniego tygodnia). To pozostałe dystrybucje (a raczej: administratorzy pozostałych maszyn) mają największy problem.


[ /\/\/\ o_0 ----->>>       Ascii Art Userbar User ]

"steal and steal and steal some more and give it to all your friends and keep on stealin'"
- Reznor

Offline

 

#15  2008-05-20 12:10:33

  harry666t - Członek DUG

harry666t
Członek DUG
Zarejestrowany: 2007-01-28

Re: Luka!

Co tak naprawdę się stało.

Wszyscy (oświeceni) znają dobrodziejstwo, jakim jest valgrind. Pozwala on odkryć, gdzie w programie lub bibliotece występują odwołania do niezainicjowanej pamięci, wycieki pamięci, podwójne uwolnienia, itp. Biblioteka openssl miała taką piękną cechę, że kopiowała w pewnym momencie do bufora, w którym zbiera entropię do generowania kluczy czy certyfikatów, cały szereg bajtów z niezainicjowanej pamięci. I to było dobre - mimo iż w normalnych warunkach używanie danych z niezainicjowanej pamięci może skończyć się jedynie kaszaną, tutaj akurat powiększało pulę entropii. No i jaki był tego efekt? Valgrind krzyczał. Valgrind krzyczał i krzyczał, że używane są wartości z niezainicjowanych zmiennych. Tak długo krzyczał, że pewien deweloper Debiana postanowił zakomentować linijkę kodu, która kopiowała całkiem ładne losowe ciągi do puli entropii. To było bezbolesne i nieszkodliwe, no i uciszyło valgrinda (entropia pochodziła też z kilku innych źródeł, między innymi typ procesora/endiannes/architektura/itp, getpid(), było też chyba jedno inne, bardzo ważne źródło, na temat którego wiem jednak niewiele). I właśnie problem pojawił się w momencie, gdy opiekun paczki zakomentował drugą, identyczną linijkę kodu, leżącą paręset linijek dalej. Czasem tak jest, człowiek się rozpędzi i próbuje robić coś odrobinkę na wyrost... I oto efekt: owo drugie, nieszkodliwe odwołanie do funkcji kopiującej bufor było tym, które wrzucało do puli najwięcej użytecznej entropii. Po usunięciu owego wywołania, jedynym faktycznym źródłem pozostało... getpid().

Teraz łatwo sobie policzyć, że w praktyce oznaczało to, iż openssl w Debianie, od września 2006 był w stanie wygenerować co najwyżej 32768 (czyli 2**15) unikalnych kluczy. Co więcej, można było banalnie prosto wszystkie te klucze odtworzyć (wystarczyło dostarczyć bibliotece własną wersję getpid()). Co jeszcze więcej, prawdopodobnie faktycznie wygenerowanych, będących w użyciu kluczy jest jeszcze mniej, gdyż debiany mają to do siebie, że przypisują pidy sekwencyjnie - powstaje proces 412, powstaje proces 413, powstaje proces 414, umiera proces 412, powstaje proces 415... To oznacza, że z dużym prawdopodobieństwem wystarczy mieć tylko pierwszych kilkaset, góra parę tysięcy kluczy, by móc już próbować odszyfrowywać sesje SSH lub próbować się logować. Ponadto proces generujący klucz dla maszyny też zazwyczaj powstaje dość wcześnie po starcie systemu (nie powiem teraz dokładnie gdzie i kiedy, ale bodajże jest to podczas instalacji serwera SSH).

Żeby użyć analogii z rzeczywistego świata: to tak, jakby w całym mieście, do wszystkich zamków, pasował zawsze jeden z ledwie kilkunastu kluczy. To, że te klucze były wytwarzane na jednym tylko osiedlu, lub na jednej ulicy, niewiele zmienia dla reszty mieszkańców - wszyscy, którzy dostali owe felerne klucze, muszą wymienić zamki :P


[ /\/\/\ o_0 ----->>>       Ascii Art Userbar User ]

"steal and steal and steal some more and give it to all your friends and keep on stealin'"
- Reznor

Offline

 

#16  2008-05-20 12:25:15

  Minio - Użyszkodnik

Minio
Użyszkodnik
Skąd: Poznań, Polska
Zarejestrowany: 2007-12-22
Serwis

Re: Luka!

Po pierwsze popieram opinię kilku osób które się tutaj wypowiadały: na ten temat nikt nie grzmił, ponieważ wiele (większość?) osób jest zielona jeśli chodzi o bezpieczeństwo. Ja również, więc o samej luce i jej konsekwencjach nie mogę się wypowiedzieć.

Po drugie nacisk w tym temacie jest położony w złym miejscu. Luka w OpenSSL — zdarza się, chociaż warto dodać, że powstała ona w wyniku samowolnej decyzji jednego z twórców dystrybucji: więc luka nie jest w OpenSSL, a Debianowym OpenSSL. Jednak wg mnie najważniejszy jest czas który upłynął pomiędzy stworzeniem dziury a jej załataniem: ponad 1,5 roku! Jest to już drugi przypadek długotrwałego istnienia dziury w systemie linuksowym w ciągu tego roku (wcześniej był błąd w kernelu pozwalający na uzyskanie uprawnień roota — od wersji 2.6.17 do 2.6.24.1). Stoi to w sprzeczności z tak wychwalaną zaletą systemów FLOSS — że niby każdy może podejrzeć kod i poprawić błędy. Co z tego, skoro przez przeszło 1,5 roku nikt nie zadał sobie trudu by sprawdzić łatkę którą nałożył któryś z developerów dystrybucji? Nie chciałbym się posuwać do stwierdzenia, że poczynań devów Debiana nikt nie kontroluje i wysnuwać wizji konsekwencji takiego działania, ale to daje do myślenia. I bynajmniej nie jest powodem do dumy.

Co nie zmienia faktu, że bagatelizacja problemu przez większość użytkowników tego forum jest zatrważająca...

davidoski napisał(-a):

Może trzeba założyć teraz GUG, Gentoo Users Gang?

Może od razu GUŁAG?

BP, NMSP.

Offline

 

#17  2008-05-20 20:38:11

  adscripticii - Użytkownik

adscripticii
Użytkownik
Skąd: Lublin
Zarejestrowany: 2007-07-20

Re: Luka!

a teraz najlepsze: jak to się ma do zielonych użytkowników?:)Jak sie domyslacie-nie bardzo rozumiem co czytam...

Offline

 

#18  2008-05-20 23:08:27

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: Luka!

Po pierwsze jakiej dziury? To nie jest dziura, a raczej niedopatrzenie, ktore dla wielu userow ma takie znacznie jak np. paint ktory po wybraniu czerwonego koloru rysuje na zielono. Po pierwsze to aby wykorzystac ten blad to trzeba by miec chalupe sprzety, zeby wygenerowac przewidywane klusze w czasie mozliwym do ich uzycia. Po drugie zazwycaj mamy pare kluczy :P

Offline

 

#19  2008-05-21 07:47:57

  debianus_userus - Członek DUG

debianus_userus
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2005-08-29
Serwis

Re: Luka!

qluk napisał(-a):

Po pierwsze to aby wykorzystac ten blad to trzeba by miec chalupe sprzety, zeby wygenerowac przewidywane klusze w czasie mozliwym do ich uzycia. Po drugie zazwycaj mamy pare kluczy :P

Po trzecie kto uzywa Debiana na srodowisku produkcyjnym? :P
Jak juz to: Solaris, AIX, HP-UX, BSD. Linux to na domowe serwerki ew. male rodzime firemki ;)
Tak wiec "dziura" co najmniej nie szkodliwa dla szarego usera.

Offline

 

#20  2008-05-21 09:44:50

  bns - unknown

bns
unknown
Zarejestrowany: 2005-12-25
Serwis

Re: Luka!

Minio napisał(-a):

[..] Jednak wg mnie najważniejszy jest czas który upłynął pomiędzy stworzeniem dziury a jej załataniem: ponad 1,5 roku! Jest to już drugi przypadek długotrwałego istnienia dziury w systemie linuksowym w ciągu tego roku (wcześniej był błąd w kernelu pozwalający na uzyskanie uprawnień roota — od wersji 2.6.17 do 2.6.24.1). Stoi to w sprzeczności z tak wychwalaną zaletą systemów FLOSS — że niby każdy może podejrzeć kod i poprawić błędy. Co z tego, skoro przez przeszło 1,5 roku nikt nie zadał sobie trudu by sprawdzić łatkę którą nałożył któryś z developerów dystrybucji? Nie chciałbym się posuwać do stwierdzenia, że poczynań devów Debiana nikt nie kontroluje i wysnuwać wizji konsekwencji takiego działania, ale to daje do myślenia. I bynajmniej nie jest powodem do dumy.
[..]

Mylisz się, luka może jest od 1,5 roku ale wykryta na parę dni, godzin przed opublikowanie patcha czyli jest zupełnie inaczej niż myślisz.

I teraz something 4 fun ;)http://loldebian.files.wordpress.com/2008/05/randomness.jpg


Pozdrawiam,
bns

Offline

 

#21  2008-05-21 12:28:50

  harry666t - Członek DUG

harry666t
Członek DUG
Zarejestrowany: 2007-01-28

Re: Luka!

oczywiście nie macie pojęcia o zagrożeniu.

> trzeba by miec chalupe sprzety, zeby wygenerowac przewidywane klusze

te klucze już zostały dawno wygenerowane. na 31 xeonach zajęło to kilka godzin. latają po sieci. kto pogoogla, ten je sobie znajdzie. jeden 10mb tarball.

co można NA PRZYKŁAD zrobić mając te klucze:

- zalogować się na inną maszynę (NIE MUSI TO BYĆ DEBIAN, WYSTARCZY ŻE UŻYWA KLUCZY WYGENEROWANYCH NA DEBIANIE). sourceforge.net zdaje się że nadal nie zbanowało owych 32768 kluczy i możliwe że właśnie ktoś włamuje się jako maintainer jakiegoś projektu i wrzuca eksplojta do czyjegoś repo SVN. owa luka w debianie BARDZIEJ NIŻ JAKAKOLWIEK INNA dotyczy WSZYSTKIEGO co szyfrowane, a dotykało debiana.

- odszyfrować przechwyconą wcześniej sesję SSH, w której ktoś łączył się do skrzynki z Debianem. jeśli więc np. logowałeś się do maszyny z Debianem via ssh, i z niej logowałeś się do maszyny z np. gentoo, ktoś, kto nagrał twoją sesję może np. zdobyć hasło ZARÓWNO do skrzynki z debkiem jak i gentoo.

> wykryta na parę dni, godzin przed opublikowanie patcha

> Po trzecie kto uzywa Debiana na srodowisku produkcyjnym?

BŁĄD NIE DOTYCZY WYŁĄCZNIE DEBIANA! Dotyczy tak samo gentoo, *BSD, AIXa, a nawet windowsa (jeśli ktoś łączył się do tegoż przez ssh, używając keylogin z kluczem wygenerowanym na debianie). W chwili opublikowania patcha Debian jest jak na razie JEDYNYM systemem który ma ową lukę w miarę załataną.

> Po drugie zazwycaj mamy pare kluczy :P

Tak, w jedną stronę klucz umożliwia zalogowanie się do skrzynki, na której keylogin ustawił jakiś debianowiec (NIEZALEŻNIE jaki system ta skrzynka używa), w drugą stronę umożliwia odszyfrowanie DOWOLNEJ sesji SSH (tej bardziej newralgicznej połowy - tej wpisywanej z klawiatury przy terminalu) połączonej do Debiana między wrześniem 2006 a majem 2008.

Przeraża mnie, że na tym forum chyba mało kto w pełni rozumie zagrożenie.


[ /\/\/\ o_0 ----->>>       Ascii Art Userbar User ]

"steal and steal and steal some more and give it to all your friends and keep on stealin'"
- Reznor

Offline

 

#22  2008-05-21 13:14:36

  Minio - Użyszkodnik

Minio
Użyszkodnik
Skąd: Poznań, Polska
Zarejestrowany: 2007-12-22
Serwis

Re: Luka!

bns napisał(-a):

Minio napisał(-a):

[..] Jednak wg mnie najważniejszy jest czas który upłynął pomiędzy stworzeniem dziury a jej załataniem: ponad 1,5 roku! Jest to już drugi przypadek długotrwałego istnienia dziury w systemie linuksowym w ciągu tego roku (wcześniej był błąd w kernelu pozwalający na uzyskanie uprawnień roota — od wersji 2.6.17 do 2.6.24.1). Stoi to w sprzeczności z tak wychwalaną zaletą systemów FLOSS — że niby każdy może podejrzeć kod i poprawić błędy. Co z tego, skoro przez przeszło 1,5 roku nikt nie zadał sobie trudu by sprawdzić łatkę którą nałożył któryś z developerów dystrybucji? Nie chciałbym się posuwać do stwierdzenia, że poczynań devów Debiana nikt nie kontroluje i wysnuwać wizji konsekwencji takiego działania, ale to daje do myślenia. I bynajmniej nie jest powodem do dumy.
[..]

Mylisz się, luka może jest od 1,5 roku ale wykryta na parę dni, godzin przed opublikowanie patcha czyli jest zupełnie inaczej niż myślisz.

Zupełnie inaczej czyli jak?

Że dziura została szybko załatana, to się akurat chwali. Microsoft nierzadko pokazuje, że szybka reakcja na wykrytą podatność jest bardzo ważna. Ale nie zmienia to w żaden sposób faktu, że była ona obecna ponad 1,5 roku. Pomyśl co by się działo, gdyby znalazł ją ktoś mniej życzliwy, kto nie tylko nie napisałby odpowiedniej łatki, ale i nie powiedział nikomu o wykrytej podatności.

Poza tym pół biedy, gdyby to była dziura powstała w zwykłym procesie developingu (takie rzeczy się zdarzają, nie wszystkie zachowania użytkownika da się przewidzieć etc.) — ale ona została stworzona przez jednego z devów Debiana. Czy należy rozumieć, że wprowadzanie łatek to autonomiczna decyzja każdego z twórców?

Offline

 

#23  2008-05-21 13:24:22

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Luka!

debianus_userus napisał(-a):

Po trzecie kto uzywa Debiana na srodowisku produkcyjnym? :P
Jak juz to: Solaris, AIX, HP-UX, BSD. Linux to na domowe serwerki ew. male rodzime firemki ;)

gwaratuje Ci ze uzywa, np w zestawie Solaris - file serwery, Linux (Debian, Ubuntu, ...) - wszystko inne (i nie jest to spowodowane finansami)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#24  2008-05-21 14:32:14

  debianus_userus - Członek DUG

debianus_userus
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2005-08-29
Serwis

Re: Luka!

bercik napisał(-a):

debianus_userus napisał(-a):

Po trzecie kto uzywa Debiana na srodowisku produkcyjnym? :P
Jak juz to: Solaris, AIX, HP-UX, BSD. Linux to na domowe serwerki ew. male rodzime firemki ;)

gwaratuje Ci ze uzywa, np w zestawie Solaris - file serwery, Linux (Debian, Ubuntu, ...) - wszystko inne (i nie jest to spowodowane finansami)

Moze i ktos uzywa, ale jest to zadkosc. OpenBSD jest o wiele lepsiejszy od Debka w profesjonalnych zastosowaniach serwerowych.
A Solaris raczej sie nie uzywa pod fileservery tylko pod Oracle ;)

Offline

 

#25  2008-05-21 16:44:43

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: Luka!

harry666t, bo jak admin jest debilem i zdaje sie na samo ssh to jego problem, robiąc to odpowiedzialnie stawia sie odpowiedni tunel na parze kluczy generowanych dwoma roznymi srodowiskami, a doiero w nim SSH.
A racja nie musi to byc debian, ba anwet nie musza to byc klucze wygenerowane na debianie(!), ale z tego konkretnego pakietu. Nie robimy tutaj dysputy technicznej o algorytmie dzialania wiec uzylem pewnych uproszczeń. Patrzac teoretycznie to luka w bezpieczenstwie jest klawiatura, uzywajac odpowiedniego nadajnika jestes w stanie zdalnie wpisywac tekst (potwierdozne na labach :P).
Racja ze ten blad jest duzym zagrozeniam, ale czy ktos np MITMowal jakies placzenia ssh w 2007 i je zapisywal zeby teraz w 2008 mogl je rozszyfrowac? Juz predzej by z palca wpisal poprawny klucz, niz przewidzial taka sytuacje :)

debianus_userus, jak to solaris nie nadaje sie na file servery? A macierze sanowskie?

Wniosek jest taki, że brak odpowiednich procedur spowodowal powstanie potencjalnego niebezpieczeństwa. Dla tego dyskusje o tym nie powinny byc toczone o zagrezeniu jakie to wprowadzilo bo ono jest jasne, ale o tym jka zapobiec podobnym sytucja.

---

bns, hehe Dilber wymiata :D
Minio, wiem do czego zmierzasz i zgadzam sie z tym ze nawet jesli dev Debianowy chce sam tez latac sobie to powinni miec jakis rodzaj kontrolowania  przed wdrozeniem na szersza skale.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)