The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в SSH-клиентах  OpenSSH и PuTTY"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от opennews (??), 04-Июл-20, 23:15 
В SSH-клиентах OpenSSH и PuTTY выявлена уязвимость (CVE-2020-14002 в PuTTY и CVE-2020-14145 в OpenSSH), приводящая к утечке сведений в алгоритме согласования соединения. Уязвимость позволяет атакующему, способному перехватить трафик клиента (например, при подключении пользователя через контролируемую атакующим точку беспроводного доступа), определить попытку первоначального подключения клиента к хосту, когда клиентом ещё не прокэширован ключ хоста...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53286

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (1), 04-Июл-20, 23:15 
Я так понимаю, пользователям FreeBSD следует срочно обновиться.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +6 +/
Сообщение от arfh (?), 04-Июл-20, 23:23 
Эта уязвимость касается всех. При чём здесь FreeBSD? Тем более, некуда обновляться. Исправленной версии нет.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +5 +/
Сообщение от Аноним (9), 04-Июл-20, 23:35 
Клиент для винды должен был называться LaPuta...
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

20. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –1 +/
Сообщение от бублички (?), 05-Июл-20, 02:31 
или el coño, или la chimba, т.к. в PuTTY легко проследить отзыв к pussy
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –4 +/
Сообщение от Аноним (38), 05-Июл-20, 10:58 
Их и так называют pussy.exe. Возможно я один из первых кто предложил этот термин более 10 лет назад, а возможно и нет.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –3 +/
Сообщение от Аноним (18), 05-Июл-20, 00:37 
> Я так понимаю, пользователям FreeBSD следует срочно обновиться.

ютуб "ubuntu server remote administration"

первая ссылка:
https://youtu.be/Pt1vwQiUDn8?t=376

вторая:
https://youtu.be/o-W_mDGX1bY?t=446
> Use a Terminal Emulator to Connect to the Server (PuTTy)

третья
https://youtu.be/d1u6TnN3YEw?t=25
> Tutorial: Install SSH (OpenSSH-Server) in Ubuntu Server and Connect Remotely via Putty to Server

Какие однако интересные ДЕ у линуксоидов, особенно в первом видео (Гном, не иначе), гы-гы!

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

35. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –1 +/
Сообщение от Аноним (35), 05-Июл-20, 10:15 
А какое ДЕ на твоей free bsd?
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –1 +/
Сообщение от YetAnotherOnanym (ok), 05-Июл-20, 11:14 
Люмина же!
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +3 +/
Сообщение от Аноним (48), 05-Июл-20, 13:07 
> А какое ДЕ на твоей free bsd?

У меня просто иксы, WM, панелька и набор самых удобных для меня, абсолютно независимых от тулкита или ЯП программ - вместо так любимого линуксоидами (особенно из ютубных видео выше) почти религиозного самоограничения "зато однообразно, красиво и прям как в венде или макоси!".

Кстати, неплохой уход с темы тулзов для администрирования убунты ))

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

49. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (38), 05-Июл-20, 13:12 
Ну я свои убунты и чентоси администрирую с кубунты и манджары(с кедами тоже). Эти же машины админят суровые бздшники с вантузов, ибо вынуждены. Этот комментарий пишется с кубунты.

> почти религиозного самоограничения "зато однообразно, красиво и прям как в венде или макоси!".

мне на это плевать. Не тулкит красит программу, а программа - тулкит.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +2 +/
Сообщение от Аноним (-), 05-Июл-20, 15:18 
>> почти религиозного самоограничения "зато однообразно, красиво и прям как в венде или макоси!".
> мне на это плевать. Не тулкит красит программу, а программа - тулкит.

Оно и видно по предыдущим комментаторам, как пингвиноидам на это плевать ))


> Ну я свои убунты и чентоси администрирую с кубунты и манджары(с кедами тоже).
> Эти же машины админят суровые бздшники с вантузов, ибо вынуждены.

Инфа - 146%! Аноним зуб дает!1 ))
ЧСХ - те, кто с виндовс админит убунты и _ц_ентоси конечно не линуксоиды, а "суровые бздшики". Кем же им еще быть?

> Этот комментарий пишется с кубунты.

Да хоть с сопляриса.
Если смотреть не на клятвенные заверения анонимов (и даже не профессионально-детальное обсуждение местными "линуксоидами" новой версии WSL в соответсвующих новостях), а поискать модные видео-туториалы, то ... ссылки, как бы, приведены выше ...
Впрочем, неанонимные линускоиды, как бы, немного намекают на реальное положение дел )))


https://developers.redhat.com/blog/2020/02/12/podman-for-mac.../
> Senior Solutions Architect, Red Hat
>  My daily laptop is a MacBook Pro, which is great unless you want to dual boot into Linux and develop on containers.

https://itsfoss.com/linux-foundation-head-uses-macos/
> Linux Foundation Head Calls 2017 'Year of the Linux Desktop'… While Running Apple's macOS Himself

https://www.linux.com/news/30-linux-kernel-developers-30-wee.../
> 30 Linux Kernel Developers In 30 Weeks: Chuck Lever
> I run Mac OS on my desktop and do Linux kernel development in a virtualized environment. Mac OS offers ease-of-use along with a strong set of productivity tools. One productivity tool I use extensively is Evernote.

Ответить | Правка | Наверх | Cообщить модератору

56. Скрыто модератором  –1 +/
Сообщение от Аноним (38), 05-Июл-20, 15:57 
Ответить | Правка | Наверх | Cообщить модератору

57. Скрыто модератором  +/
Сообщение от Аноним (-), 05-Июл-20, 16:17 
Ответить | Правка | Наверх | Cообщить модератору

61. Скрыто модератором  –2 +/
Сообщение от Аноним (38), 05-Июл-20, 18:18 
Ответить | Правка | Наверх | Cообщить модератору

64. Скрыто модератором  +3 +/
Сообщение от Аноним (-), 05-Июл-20, 19:28 
Ответить | Правка | Наверх | Cообщить модератору

65. Скрыто модератором  +/
Сообщение от Аноним (38), 05-Июл-20, 20:54 
Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (-), 07-Июл-20, 15:13 
> Впрочем, поясню.
> Ты, Чебурашка, нашёл ровно то, что искал.

А ты, Гена, гений!

> Ты на Ютубе (!) искал чего-то там по администрированию nix-серверов. На Ютубе, где размещают видео.
> Неудивительно, что там ты встретил «творчество» таких же Чебурашек как и ты
> сам. Потому что только полная Чебурашка будет записывать видео для донесения
> исключительно текстовой информации. Там даже скринов не требуется, только текст, какое ещё видео?!

Я правильно понимаю этот вопль души "Эта ниправильные линуксаиды! НИНАСТОЯЩИИЕ! НИЩИТАИЦА!!1"?


> Ну и что удивительного, что эти Чебурашки пользуются для администрирования чем угодно, только не подходящими для этого инструментами? Они и для более простой
> задачи (донесения информации) не смогли подходящий инструмент подобрать.

Я понял! У Пингвиняш, все как всегда - это считаем, это "неправильные, совсем неправильные нелинуксоиды!Воть!" не считаем, а вот тут вот "совсем не двойные стандарты, просто ты НИПАНИМАИШЬ! Эта ДРУГОЕ!" заворачивали.


> Итого.
> Ты даже не смог нормальную выборку сделать, но при этом имеешь глупость
> и наглость делать какие-то там вывода о каких-то там линуксоидах.

Ну-ка, ну-ка:
>> Я так понимаю, пользователям FreeBSD следует срочно обновиться.
>> Ну я свои убунты и чентоси администрирую с кубунты и манджары(с кедами тоже).
>> Эти же машины админят суровые бздшники с вантузов, ибо вынуждены.

Давай Гена, расскажи еще что-то про правильную пингвиняью "выборку", "выводы", "глупость"!
За
> племя младое, незнакомое, бестолковое…
> слишком глупы,
> Чебурашка

"наглость" и "вежливость" можешь не переживать - эталон уже помещен в палату мер и весов )))


Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

69. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +2 +/
Сообщение от bOOster (ok), 06-Июл-20, 05:48 
Типичный линухсоид, не понимающий какие сервисы работают в его системе.. Позор.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

78. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от Аноним (-), 07-Июл-20, 12:31 
> Типичный линухсоид, не понимающий какие сервисы работают в его системе.. Позор.

Зачем местным линухоидам Putty или OpenSSH, если у них для локалхоста есть Prallels и WSL, а для ремота - вебпанелька?

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –2 +/
Сообщение от Аноним (2), 04-Июл-20, 23:17 
> Те кто проверяют отпечатки ключей проблеме не подвержены.

А вот поди проверь его! Если сервер за том конце шара)
И никакой псевдографики не показывается.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +3 +/
Сообщение от Hult (?), 04-Июл-20, 23:20 
А не фиг вообще на него лезть!
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (13), 05-Июл-20, 00:12 
И причём тут псевдографика? Если вы про рисунок, сопровождающий отпечаток, так он именно дополняет, а не заменяет строковое значение.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

15. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от An0n (?), 05-Июл-20, 00:26 
Речь же о MITM, то есть на сервер то вы попадёте, только через злоумышленника. Ну а там уже можно и проверить.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

16. "Вдруг кому пригодится"  +1 +/
Сообщение от An0n (?), 05-Июл-20, 00:27 
https://superuser.com/questions/421997/what-is-a-ssh-key-fin...
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –1 +/
Сообщение от Аноним (36), 05-Июл-20, 10:29 
А зачем Вам подключаться в первый раз к серверу через хакерский Wi-Fi? Да ещё и не проверив fingerprint через сторонние ресурсы. Уязвимость в стиле: а вот была бы у него подпись VerySign...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

44. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от YetAnotherOnanym (ok), 05-Июл-20, 12:42 
А пароль для входа на этот сервер вы знаете? Или ключик ваш как-то прописан на сервере? Если так, то возможность узнать отпечаток ключа сервера у вас точно была.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

58. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (58), 05-Июл-20, 17:27 
man ssh-keysign
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Онаним (?), 04-Июл-20, 23:18 
> Те кто проверяют отпечатки ключей проблеме не подвержены.

Ну и басиньки.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от Онаним (?), 04-Июл-20, 23:20 
Это вот к тому, что меня тут где-то кто-то упорно вопрошал - а зачем вам закрытая сеть и несколько уровней доступа, включая VPN. Ведь КЛАУД! ДОКЕР! СМУЗИ!

Вот затем и нужен, чтобы желающие подменить ключ менее опытным пользователям пошли на хрен ещё на этапе доступа к трафику.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +20 +/
Сообщение от Аноним (7), 04-Июл-20, 23:27 
Тупо пишу yes при подкдючении
Какой такой ключ
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от YetAnotherOnanym (ok), 05-Июл-20, 12:43 
Дай я тебя поцелую!
Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от InuYasha (??), 07-Июл-20, 11:30 
Соблюдай социальную дистанцию!
Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +2 +/
Сообщение от Аноним (74), 06-Июл-20, 15:54 
Нуб!

Host *
    StrictHostKeyChecking accept-new
    UserKnownHostsFile /dev/null

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

31. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от Аноним (35), 05-Июл-20, 09:41 
Всё бы ничего, но вот только докер позволяет сделать клауд в закрытых сетях реальностью. И всякие кроваво-ынтырпрайзные финтехи этим давно уже пользуются. Посмотри на HSBC, Mr. Cooper, Deutsche Bank... Ну это те, в которые я деплоил всякую кубернетщину. Насчёт смузи - покупаю иногда.
Так что, я бы вам порекомендовал немножко разобраться в теме, прежде чем писать такие комментарии.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

33. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от Онаним (?), 05-Июл-20, 10:09 
Приведённый списочек в каком-то плане показателен :)
С Deutsche Bank наверное больше всего работали, нет?
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (35), 05-Июл-20, 10:15 
В этих местах крутится одно из наших решений, да. Самый показательный - это HSBC.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от anonymous (??), 04-Июл-20, 23:29 
Ничего не понял. Уязвимость в том, что без использования CA возможен MITM?
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +6 +/
Сообщение от DerRoteBaron (ok), 04-Июл-20, 23:54 
Уязвимость в том, что можно определить, кого MITM'ить есть смысл, а у кого хост уже известен и MITM наверняка вскроется
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +3 +/
Сообщение от Аноним (53), 05-Июл-20, 14:19 
Уязвимость в том, что народ наконец изучил матчасть, и понял, что само по себе SSH как "крест животворящий"(с) от MITM не защищает. А чтобы всё работало нужно на первом этапе сверить отпечаток ключа.

Вернее это было всегда, но вот теперь нашли способ отделить первое подключение от уже существующих и сильно не палится.

Ответ от OpenSSH прекрасен. Парни явно не хотят костылить, а предпочитают решать проблемы, и протокол на данный момент уже имеет средства решения, и ими просто нужно пользоваться если нужно доверенное соединение.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

10. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –3 +/
Сообщение от Аноним (10), 04-Июл-20, 23:39 
Сколько программ, столько и уязвимостей! Возможно ли написать программу без ошибок, если ты не робот? Сомневаюсь...
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +9 +/
Сообщение от Аноним (1), 04-Июл-20, 23:59 
Ух, сос мыслом брат ☝
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от BlackRot (ok), 05-Июл-20, 00:16 
Очевидное невероятное
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

17. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –6 +/
Сообщение от Аноним (17), 05-Июл-20, 00:27 
Можно и даже было бы нужно, но это в идеальных условиях, неограниченное время и команда собранная из профи с образованиями не меньше докторского из нормальных западных универов с опытом лет 10 прод разработки. А не веб мака с опытом работы 1 неделя жабаскрипта и оптимальным манагером который урезает и так уже короткое время и требует всяких разных фичей которые кроме как для промо мало кому нужны. Ну или делаются каким-то дорком дома на колене под пивом
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

19. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от doctorishe (?), 05-Июл-20, 01:03 
Если ваша программа написана без ошибок - позовите системного программиста - он исправит ошибки в компиляторе :)
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

40. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +2 +/
Сообщение от КО (?), 05-Июл-20, 11:31 
Это не ошибка в программе. Это организационная ошибка.
Выдавать пользователю кучу цифробукв и спрашивать - оно? Путь к успеху.
В данном случае для строгой проверки клиент не должен был спрашивать оно или не оно, а спрашивать просто отпечаток у пользователя и если не оно говорить - аяяй! Но это же влом и муторно будет пользователям. Посему упрощенный вариант.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

68. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от с (?), 06-Июл-20, 03:20 
А винда не спрашивает при первом подключении по рдп? (спрашивает вообщето)
Нет тут ошибки, это узкое место, да, но или так, или еще большие и не однозначные костыли.

Обычно, человек проверяет чего он там (доступ) создал, из своей сети, и нет необходимости ничего сверять, все промежуточные узлы подконтрольны.

и если надо тиражировать, - создаем "профиль", в котором та самая путти с теми самыми ключами хоста.

У меня так 200 человек ушло на удаленку, 2 дня писал скрипты, которые создают пользователя, генерируют ключи, генерируют батники, собирают "профиль" и пакуют в exeшник по нажатии кнопочки на специальной страчке, у эникеев просто нет шанса накосячить, как и у юзера.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (46), 05-Июл-20, 12:47 
Ага лучше писать хорошо, чем писать плохо.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

21. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Anonymouz (?), 05-Июл-20, 03:50 
Баг очевидный, наверняка многие знали или догадывались, странно что написали только сейчас. Использовать можно только когда в запасе месяц-другой времени, т.е. вряд ли юзабельно в целях наживы например.
И да, даже админы очень серьезных контор не проверяли и не будут проверять отпечаток.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +3 +/
Сообщение от Аноним (22), 05-Июл-20, 04:05 
У меня кстати всегда холодок пробегает, когда патти спрашивает при первом коннекте... я думаю, но потом не перепроверяю ;(
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Anonym123 (?), 05-Июл-20, 04:20 
я не " админы очень серьезных контор", но да, при внезапном изменении отпечатка - обязательно проверяю. страшно патамучта.
И если по какой-либо причине меняю ключ на сервере - предупреждаю коллегу.
Не, не параноик.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

27. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от Аноним (27), 05-Июл-20, 08:11 
> Баг очевидный

Бага в OpenSSH - НЕТ!

> Атака строится на беспечности пользователей,

Проблема из-за "человеческого фактора".

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

37. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Anonymouz (?), 05-Июл-20, 10:40 
Баг приводит к утечке информации. CVE выдали, пример атаки с его использованием есть, о чем тут спорить?
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от Аноним (42), 05-Июл-20, 12:10 
Сейчас событие "CVE выдали" не означает вообще ничего.
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (51), 05-Июл-20, 14:03 
Дайте CVE. Мне очень интересно почитать на неисправленный баг в человеческом мозге (днк) из-за которого у людей все еще сохраняется неисправленная "feature" развивающая беспечность
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

59. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –1 +/
Сообщение от Аноним (58), 05-Июл-20, 17:32 
> даже админы очень серьезных контор не проверяли и не будут проверять отпечаток.

Админы серьёзных контор подписывают хостовые ключи, поэтому у них нет необходимости проверять их глазами.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

66. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Anonymouz (?), 05-Июл-20, 22:55 
Где-то хуже где-то лучше, некоторые стараются добавить все в known_hosts и раскидать по серверам, но все равно один админ с гарантией когда-нибудь полезет не проверив, возможно даже не на сервер а на домашнюю систему, где у него настроен туннель до работы, через который контору и хакнут. Например для Яндекса это сработает.
Это если не говорить об инсайде, там возможностей для гадости больше.
Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –3 +/
Сообщение от Аноним (58), 06-Июл-20, 14:51 
>> подписывают хостовые ключи
> некоторые стараются добавить все в known_hosts и раскидать по серверам

Читать и понимать написанное научись.

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Anonymouz (?), 06-Июл-20, 21:27 
>>> подписывают хостовые ключи
>> некоторые стараются добавить все в known_hosts и раскидать по серверам
> Читать и понимать написанное научись

С этом скорее к Вам. :-P Вы там у себя подписывате, а рядом админы компаний подходят к вопросу по-разному, иногда никак, иногда используют схему с puppet+known_hosts или что-то еще более странное... пентерстеры об этом много могут рассказать (но не станут).

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  –10 +/
Сообщение от Lex (??), 05-Июл-20, 04:17 
Итак, в библиотеке, связанной с сертификатами и шифрованием спустя много лет нашли очередную эпическую дырищу:

-Если проект написан на JS - “ууу, вебмакаки!!111 школу вначале закончи!! А что ещё от JS ожидать ?))»

-Если проект написан на Си / Плюсах и является чуть ли неотъемлемой частью юниксовых систем, открывая хорошую такую дырень для «желающих» - «ненуачо, бывает. Просто шифроваться получше надо было и защит там всяких побольше приделать. И вообще, не бывает кода без ошибок».

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Анонимemail (26), 05-Июл-20, 04:25 
Не пойму, зачем вообще менять порядок алгоритмов при аутентификации, когда ключ закеширован. Если настройки сервера и клиента не менялись, то при повторном соединении, как и при первом, выберется одинаковый алгоритм, и никакого предупреждения о смене ключа не будет. А если менялись, то предупреждение закономерно, и для хоста надо закешировать второй ключ или обновить первый.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от КО (?), 05-Июл-20, 11:40 
>Если настройки сервера и клиента не менялись, то при повторном соединении, как и при первом, выберется одинаковый алгоритм

Это еще если версии пакетов не менять и пр. А то может оказаться что в версии N+1 добавят еще один алгоритм (причем более предпочтительный) и фигакс - у тебя предупреждение, что ты лезешь на другой сервак вместо своего. При частых ложных предупреждениях, ты их начнешь игнорировать. :(

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (58), 05-Июл-20, 17:34 
На сервере могли сгенерировать новый ключ для нового алгоритма, например.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

43. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (46), 05-Июл-20, 12:41 
Я думал путти уже законодательно запретили.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от Аноним (51), 05-Июл-20, 14:05 
Запрещали, запрещали да, потом поняли что бессильны и разрешили при первой же возможности. Кажется это про телеграм, но не суть, применимо к любому и везде. Извините если что.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от YetAnotherOnanym (ok), 05-Июл-20, 12:48 
> будет применена попытка применения не соответствующего прокэшированному ключу алгоритма с выводом предупреждения о неизвестном ключе

Я чота не догоняю - почему нельзя воздержаться от вывода предупреждения до тех пор, пока не перебраны безуспешно все алгоритмы?

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от olanemail (?), 05-Июл-20, 14:41 
Протокол аутентификации не позволяет перебирать алгоритмы. Там схема простая: клиент и сервер предлагают списки поддерживаемых алгоритмов, и после получения этих списков выбирается первый алгоритм из списка клиента, который поддержан сервером. Если аутентификация не прошла, соединение рвётся. Чтобы выбрать другой алгоритм, надо повторно соединиться и прислать алгоритмы в другом порядке.

И потом, отсутствие ключа в кэше клиента - это не безуспешная попытка с точки зрения протокола. Это как раз говорит о том, что у сервера поменялся ключ.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от YetAnotherOnanym (ok), 05-Июл-20, 18:54 
> соединение рвётся

Я чота не догоняю - почему нельзя воздержаться от вывода предупреждения до тех пор, пока не перебраны безуспешно все алгоритмы, совместно поддерживаемые сервером и клиентом, с установкой отдельного соединения для каждого алгоритма?

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от КО (?), 06-Июл-20, 08:58 
Т.е. пользователя надо спрашивать подряд
это ли правильная подпись - да/нет?
это ли правильная подпись - да/нет?
это ли правильная подпись - да/нет?
это ли правильная подпись - да/нет?
...
это еще более странное поведение будет.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

71. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от YetAnotherOnanym (ok), 06-Июл-20, 14:09 
> спрашивать подряд

Чёрным по светло-оливковому написано: "воздержаться от вывода предупреждения до тех пор, пока не перебраны безуспешно все алгоритмы". То есть, после перебора выдать запрос: "алгоритм X - хэш такой-то, алгоритм Y - хэш такой-то, алгоритм Z - хэш такой-то. Закэшированный хэш такой-то. Решай сам."

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от КО (?), 08-Июл-20, 10:45 
Нету никакого перебора есть первое подключение.Речь про выбор сертификата для формирования ключа шифрования по подписи. вы предлагаете установить N шифрованных каналов, чтобы задать вопрос и потом N-1 закрыть?
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (50), 05-Июл-20, 13:28 
Ну по факту уязвимость условная. Да, она даёт понять, есть ли у человека захешированный ключ или нет. Те кто не проверяют ключ, они и в первый раз не проверят, и в случае изменения его не проверят нажмут yes/
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от КО (?), 05-Июл-20, 18:31 
Как раз в случае изменения и заметят. Ибо изменение это неожиданно.
Как-то мне это помогло обнаружить конфликт ip адресов в локалке. Включаю сервак все ок. Потом что-то у него с сетью, а по ssh уже другой ключ.
А то, что в первый раз должен быть какой-то ключ - это нормальное поведение.
Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +1 +/
Сообщение от Аноним (67), 05-Июл-20, 23:09 
Кстати, разрабам, юзающим ssh исключительно для пуша открытых репозиториев на GitHub должно быть пофиг: выдача себя за сервер для клиента не позволит атакующему выдать себя за вас для сервера и закинуть бэкдор, но позволит принять пуш, который содержит и так публичные данные. Но вот с пуллом засада - пулл как раз атакующий может подменить, поэтому пуллить желательно по https.
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от Аноним (58), 06-Июл-20, 14:58 
MITM работает в обе стороны.
Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в SSH-клиентах  OpenSSH и PuTTY"  +/
Сообщение от anonymous yet another (?), 08-Июл-20, 08:02 
> ... , поэтому пуллить желательно по https.

Убийственная логика.

"Градуируя его вдоль спины получаем синекдоху отвечания".

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру