Des p'tit trous, encore des p'tit trous (air connu)

Amis linuxiens protégez vos machines. Il semblerait en effet qu’un trou de sécurité affecte les dernières version de SSH (toutes distributions confondues : FreeBSD, RedHat, Gentoo, Debian et toutes les versions de OpenSSH).

La découverte de ce trou s’est faite lors de plusieurs exploits réussis sur les machines semble-t’ il 100% a jour d’un ISP américain et il n’y a, au moment où j’écris ces lignes, aucun patch de disponible.

Les informations sont pour l’instant assez rares et le tout est à prendre avec des pincettes. Cependant, si vous êtes concerné, la prudence la plus élémentaire consiste a suivre les informations disponibles ici.

Les solutions recommandées consistent principalement a remplacer SSH par LSH ou à limiter l’accès au port à un jeu de machine restreint et sur.

Comme on dit, à force de chercher, on trouve ! Le système le plus attaqué cette année est… Linux avec un joli 51% tout de même. Mais bien sûr, ça a moins d’impact que les systèmes de Billou au niveau médiatique. 

C’est un message à caractère informatif, histoire que personne ne raconte de conneries de type “Mon système, il est plus secure que le tien”…
Ce message a été édité par xentyr le 17/09/2003

Bigre. Vivement la mise à jour. Je désactive l’accès externe ce soir.

iptables -A INPUT -i $NET -m state --state NEW -p tcp --dport 22 -j LOG_INP_ACCP

->

iptables -A INPUT -i $NET -m state --state NEW -p tcp --dport 22 -j LOG_INP_DROP

[Edit] -> Gaffe tout de même avec les statistiques : Bien maniées, on peut leur faire raconter n’importe quoi. Mal maniées, on passe pour n’importe quoi.
Ce message a été édité par good_boy le 17/09/2003

[quote]Amis linuxiens …[/quote]Si l’admin se lance dans les trolls maintenant…

Le trou de sécurité se trouve dans le logiciel SSH, ça n’a pas forcément un rapport avec linux. Il existe aussi des serveurs ssh pour windows.ssh.com

[quote]Comme on dit, à force de chercher, on trouve ! Le système le plus attaqué cette année est… Linux avec un joli 51% tout de même. …[/quote]je sais pas pourquoi, mais je le sens mal partit ce thread :-p
Si c’est le plus attaqué, c’est peut-être parce que c’est le plus utilisé pour les serveurs connectés à internet…
En plus tu dis, “attaqué”, mais pas “percé”, “planté”, “troué”, ça parle pas d’attaque réussie donc…
De toute façon, sans les sources de tes informations, comment te croire ?
Ce message a été édité par Baphomet le 17/09/2003

[quote]Si l’admin se lance dans les trolls maintenant…

Le trou de sécurité se trouve dans le logiciel SSH, ça n’a pas forcément un rapport avec linux. Il existe aussi des serveurs ssh pour windows.ssh.com[/quote]Ce foutage de gueule
C’est franchement de la mauvaise foi la faut pas deconner. Oui ssh existe sous windows parcequ’un mec a reussit a la compiler sous windows, je demande a voir le % de box win avec ssh et le % de box linux qui tournent avec ssh tiens ca me ferait rigoler. Sans compter que c’est pas le client le pb, c’est le serveur. Et un serveur ssh sous win… utilite TRES limitee. A moins de vouloir faire un tunnel crypte et dans ces cas la il y a quand meme nettement plus adapte. En revanche c’est LA methode d’acces remote la plus courrament utilisee sous les serveurs linux dans une majorite ECRASANTE de cas. SSH est utilise TRES courament et est installe par defaut par toute les distrib linux. Ca concerne donc linux. Si ca te fait mal aux fesses que ca soit moi qui rapporte un trou sous linux ou je me suis abstenu de tout commentaire acerbes ou condescendant parceque non seulement ils n’ont vraiment pas leur place ici mais aussi parceque le but etait de prevenir les geek cafzoniens sous linux de patcher leur box, tant pis pour toi.

[quote][quote]Comme on dit, à force de chercher, on trouve ! Le système le plus attaqué cette année est… Linux avec un joli 51% tout de même. …[/quote]je sais pas pourquoi, mais je le sens mal partit ce thread :-p
Si c’est le plus attaqué, c’est peut-être parce que c’est le plus utilisé pour les serveurs connectés à internet…
En plus tu dis, “attaqué”, mais pas “percé”, “planté”, “troué”, ça parle pas d’attaque réussie donc…
De toute façon, sans les sources de tes informations, comment te croire ?
Ce message a été édité par Baphomet le 17/09/2003[/quote]Bon j’ai rien dit de la sorte dans ma news parceque c’etait pas le sujet mais la t’attaques directement la credibilite de xentyr, en l’accusant a demi mot de mensonges partisants alors que c’est VRAIMENT pas le genre du monsieur. Tu deforme ses propos et  tu trolle tant que tu peux. Aussi, une phrase commence par une majuscule et se termine par un point. Le point est ton ami. La majuscule aussi.

Pour en revenir aux faits. La source de son information est slashdot et la source originale est une firme de securite britanique (mi2g Intelligence Unit) qui tout les ans publie ce genre de stats. Il s’agit bel et bien de serveur OWNE c’est a dire avec penetration et utilisation de l’ordi par une personne mal intentionnee. La base de donnees sur laquelle est basee les stats contient plus de 280 000 attaques verifiees et prouvees. Linux represente donc bien 51% des attaques de securite ayant reuissit sur l’annee. Sur le mois d’aout seulement le resultat est encore pire pour linux puisqu’il se situe a 67% (!!!) pour celui ci contre 23.2% pour Windows.

Le commentaire du directeur de la firme:

“The proliferation of Linux within the on-line server community coupled with inadequate knowledge of how to keep that environment secure when running vulnerable third-party applications is contributing to a consistently higher proportion of compromised Linux servers,”

On voit que l’admin incompetent fait des conneries quel que soit l’OS.

Franchement j’avais zero envie de venir parler de ca parceque je trouve pas ces genres de stats franchement utiles et peu representatives. En plus les chiffres sont sujets a caution venant d’une seule societe et n’ont pas eu de confirmation independante donc, pour moi, ils sont pas digne d’etre publies.

Vrais chiffres ou faux chiffres je m’en cogne. Si t’es un gros blairo, que t’es pas a jour, et que tu fais le caid, quel que soit ton OS tu vas te faire owner. Si tu sais ce que tu fais et que tu patches t’es en general peinard. Mais la franchement avec ta mauvaise foi et tes attaques gratuites je peux pas m’empecher de te renvoyer aux faits. La prochaine fois renseigne toi avant d’accuser les autres de raconter n’importe quoi.

Cela dit c’est PAS le sujet de la news et je veux plus en entendre parler. On EST PAS LA POUR FAIRE UN DEBAT LINUX EST IL PLUS SECU QUE WINDOWS OU L’INVERSE. Ca parle d’une faille en particulier ici. Point barre.

Ce message a été édité par GloP le 17/09/2003

[quote]On voit que l’admin incompetent fait des conneries quel que soit l’OS.[/quote]Ppcd.

Ouai m’enfin Glop, tu trouves pas que Linux est vachement plus sécure que Windows, non passe que quand même…
Ce message a été édité par bobsainclar le 17/09/2003

http://www.openbsd.org/errata.html

004: SECURITY FIX: September 16, 2003 All versions of OpenSSH’s
sshd prior to 3.7 contain a buffer management error. It is unclear
whether or not this bug is exploitable. A source code patch exists
which remedies the problem. NOTE: this is the second revision of the
patch that fixes an additional problem.

Voilà.

Le lien est : ftp://ftp.openbsd.org/pub/OpenBSD/patches...sshbuffer.patch

Hoplahop, make install et shazam

[quote][quote]
Si l’admin se lance dans les trolls maintenant…

Le
trou de sécurité se trouve dans le logiciel SSH, ça n’a pas forcément
un rapport avec linux. Il existe aussi des serveurs ssh pour windows.ssh.com
[/quote]Ce foutage de gueule
C’est
franchement de la mauvaise foi la faut pas deconner. Oui ssh existe
sous windows parcequ’un mec a reussit a la compiler sous windows, je
demande a voir le % de box win avec ssh et le % de box linux qui
tournent avec ssh tiens ca me ferait rigoler. Sans compter que c’est
pas le client le pb, c’est le serveur. Et un serveur ssh sous win…
utilite TRES limitee.

Ola ola ola. Mais ca fight sans moi? tss tss. Pas gentils.

Alors, d’abord, quelques points:
[ul]
[li]Je vois pas ou est le troll.[/li]
[li]Le SERVEUR SSH a un probleme, donc typiquement, pour le public de[/li]la cafzone, les linuxiens, et les quelques diablotins qui trainent
(hein Sparc 666 ), mais ceux la, c’est leur metier, normalement ils
sont deja au courant.

[li]La news est donc bien pour nos amis linuxiens cafzoniens, dont je[/li]suis.

[li]Un serveur SSH sous Windows, c’est d’une debilite sans nom. Et[/li]d’une, tu peux rien controller (TSE, c’est pas fait pour les chiens),
et de deux, bah ca sert a rien.

[li]Donner la mauvaise URL, celle du serveur SSH commercial, alors[/li]qu’on parle de openSSH, Ca fait
mauvais genre.
[/ul]

[quote]

[quote]

[quote]Comme
on dit, à force de chercher, on trouve ! Le système le plus
attaqué cette année est… Linux avec un joli 51% tout de même. …

[/quote]je sais pas pourquoi, mais je le sens mal partit ce thread :-p
Si c’est le plus attaqué, c’est peut-être parce que c’est le plus utilisé pour les serveurs connectés à internet…
En plus tu dis, “attaqué”, mais pas “percé”, “planté”, “troué”, ça parle pas d’attaque réussie donc…
De toute façon, sans les sources de tes informations, comment te croire ?
Ce message a été édité par Baphomet le 17/09/2003[/quote]Bon
j’ai rien dit de la sorte dans ma news parceque c’etait pas le sujet
mais la t’attaques directement la credibilite de xentyr, en l’accusant
a demi mot de mensonges partisants alors que c’est VRAIMENT pas le
genre du monsieur. Tu deforme ses propos et  tu trolle tant que tu
peux. Aussi, une phrase commence par une majuscule et se termine par un
point. Le point est ton ami. La majuscule aussi.

Pour en revenir aux faits. La source de son information est slashdot et la source originale est une firme de securite britanique (mi2g Intelligence Unit)
qui tout les ans publie ce genre de stats. [cut le blabla pour sauver ma BP][/quote]
Quand meme. Tiens, ca pourrait etre interessant de publier ca sur linux.org, je vais y songer.

Sinon, pour les admins incompetents, y en a partout, donc bon.

LoneWolf

Est ce que ce thread sera ferme? Vous le saurez bientot…
Ce message a été édité par LoneWolf le 17/09/2003

Cette faille touche autant des clients que des serveurs SSH utilisant la version 2 du protocole.

La bonne nouvelle est que OpenSSH n’est pas touché par cette faille. Une preuve de plus de la qualité des logiciels libres ?

Par contre Putty (client Windows très utilisé) est victime de cette faille.

Les solutions proposées sont, pour le moment, de restreindre les accès sur les serveurs (par ip par exemple) et de se connecter qu’à des serveurs bien connus pour les clients. Ou alors, vous utilisez le patch qui va bien donné par notre Good_boy favori !

Qu’est-ce qu’il est mal parti ce thread…

Ce message a été édité par bobsainclar le 17/09/2003

[quote]On voit que l’admin incompetent fait des conneries quel que soit l’OS.[/quote]Comme Beethoven, j’approuve totalement.

Et j’en profite pour rajouter quelques précisions, il semblerait qu’il y ait un CERT advisory sur ce problème : http://www.cert.org/advisories/CA-2003-24.html

En lisant cet advisory, on apprend qu’à partir de OpenSSH 3.7, c’est corrigé. Cependant, une version 3.7.1 est aussi sortie et corrige encore mieux, d’après ce que j’ai lu.

Finalement, bonne nouvelles pour les cafzoniens qui tournent en Debian stable, c’est corrigé depuis quelques temps : http://www.debian.org/security/2003/dsa-382

Et pour finir : reste zen GloP

edit : mes excuses à good_boy, qui avait déjà précisé que la 3.7 réglait le problème
Ce message a été édité par Drealmer le 17/09/2003

OpenSSH etait menace cela dit C’est mon style qui est pas zen moi ca va tres bien, mais j’etais sur qu’un idiot allait venir raconter des conneries de ce genre alors je l’attendais au tournant.
Ce message a été édité par GloP le 17/09/2003

[quote]Amis linuxiens […] (toutes distributions confondues :
FreeBSD […][/quote]
Ah non ! On mélange pas les OS pour homme (les *BSD) et les autres (les
Linux). FreeBSD n’est pas un Linux, mais un BSD (un peu comme Windows
n’est pas MacOS).

D’ailleurs le problème touche toutes les plateformes pour lesquelles
OpenSSH a été porté (distribs Linux, les BSD, MacOS X, Solaris, AIX,
HP-UX, etc.)

[quote][quote]Amis linuxiens […] (toutes distributions confondues : FreeBSD […][/quote]Ah non ! On mélange pas les OS pour homme (les *BSD) et les autres (les Linux). FreeBSD n’est pas un Linux, mais un BSD (un peu comme Windows n’est pas MacOS).
D’ailleurs le problème touche toutes les plateformes pour lesquelles OpenSSH a été porté (distribs Linux, les BSD, MacOS X, Solaris, AIX, HP-UX, etc.)[/quote]Certes. Ce sont des Unix… Je m’excuse de ma generalisation j’aurais du ecrire “Amis *[x|bsd]iens” Plus obscur de suite…

[quote]…
Chui zen C’est mon style qui est pas zen
moi ca va tres bien, …[/quote]

ça rassure, un moment j’ai cru qu’il avait pèté un cable… bon ok, je
l’ai un poil cherché, j’ai juste oublié de mettre un smiley dans le
message pour dire que j’étais pas totalement sérieux :-p

désolé, je cherchais pas a lancer une guerre, j’ai mal interprété les propros du rédacteur.

Et désolé pour xentyr, je ne remets pas en question son honnêteté,
j’aurai juste voulu un lien que tu as fort gentillement donné pour des
éclaircicements bienvenus.

ceci
dit, les autres ont montré que d’autres versions, clients et serveurs,
que openssh étaient atteinds. Et bien que openssh soit utilisé sur la
plus grosse partie des serveurs, beaucoup utilise un poste client
windows pour y accéder.
de même linux était fortement utilisé sur les serveurs il est normal que ce soit aussi le plus attaqué, rien d’étonnant à ça.
Je dis pas que des bétises, par contre, j’avoue m’être mal expliqué.
Et au risque de décevoir LoneWolf, je suis moi aussi zen ;-p

Houla houla, mon post d’avertissement est très mal passé à ce que je vois. Vous aviez AUSSI le droit de lire ce qui était en italique. Ce n’était pas une critique de l’OS mais une critique des arguments qui allaient arriver : mon information allait contre les idées reçues. Effectivement, j’aurais dû citer mes sources de suite, comme cela, good_boy n’aurait pas pu sortir sa phrase grandiose de type “pile tu perds, face je gagne”. Comme honnêteté intellectuelle, je t’ai connu dans de bien meilleurs jours. On va dire que c’est sous le coup de la nouvelle (oui, moi aussi elle m’a bien étonnée).

Ensuite, j’ai trouvé que c’était pas terrible, niveau argumentation chez certains. Comme je l’ai déjà dit dans un autre thread, la tactique rhétorique de quelques défenseurs du Libre faisait assez peur, tant elle était éculée et politicienne (dans le mauvais sens du terme) :

[quote]

  • Pour son camp,
    • Quand une critique est positive, on la généralise pour la maximiser.
    • Quand une critique est négative, on va se perdre dans les détails pour la minimiser.
  • Pour le camp adverse,
    • Quand une critique est positive, on va se perdre dans les détails pour la minimiser.
    • Quand une critique est négative, on la généralise pour la maximiser.
[/quote]Ici, dire que SSH est aussi sous Windows donc que ça ne s'adresse pas spécialement aux (bsd|linux|unix)iens, c'est du foutage de gueule... Limite, ça voudrait dire qu'il vaut mieux ne pas porter cet outil sous Windows car il n'est pas sûr, ce qui n'est pas vraiment le but recherché. Faites gaffe, l'enfer est pavé de bonnes attentions, et à défendre n'importe comment, on en arrive à donner le bâton pour se faire battre.* Bref, la faille a l'air corrigée, tout est bien qui finit bien.

*C’est une phrase bateau mais trop rarement appliquée.
Ce message a été édité par xentyr le 17/09/2003

Ca m’aurait fort étonné que la faille ne soit pas corrigé automatiquement après sa découverte ! Mais bon, faut pas être trop paranoya, je vois mal quelqu’un qui aurait les compétance d’utiliser cette faille (ca ne doit pas être à la portée de tout le monde) venir s’acharner sur votre petit serveur, ils ont autres chose à faire comme pirater le site de la nasa ou celui du FBI !

Juste par curiosité, j’aimerais bien savoir sur quoi ils se basent et comment ils font leurs stats sur le nombre d’attaques réussies. Quelqu’un sait ?

Juste par curiosité, tu lis le post de GloP, et tu vas sur le site de la société linkée, ahem.

[quote]Juste par curiosité, tu lis le post de GloP, et tu vas sur le site de la société linkée, ahem. [/quote]Ouais c’est bon j’ai lu j’me demandais si quelqu’un avait la réponse la comme ca !!
J’avais la flemme d’aller farfouiller sur le site de la société

Edit: Et après lecture de l’article je ne sais toujours pas comment ils font pour avoir leurs infos !!
Ce message a été édité par Kugar le 17/09/2003