The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в OpenSSH, позволяющая определить наличие пользователей

16.08.2018 08:04

В OpenSSH выявлена проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователь с данным именем в системе.

Метод базируется на разности поведения при обработке запроса на аутентификацию для существующего и неизвестного пользователя. Атакующий может отправить некорректный запрос аутентификации (например, отправить повреждённый пакет), в случае отсутствия пользователя в системе выполнение функции userauth_pubkey() завершится сразу с отправкой ответа SSH2_MSG_USERAUTH_FAILURE. Если пользователь присутствует в системе, произойдёт сбой при вызове функции sshpkt_get_u8() и сервер просто молча закроет соединение.

Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита - для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время обработки операции проверки для существующего и несуществующего пользователя. Без выравнивания времени проверки атакующий может проанализировать время выполнения операции и если очередная проверка выполняется дольше обычного, сделать вывод о наличии запрошенного пользователя в системе и перейти к подбору пароля для конкретного логина.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: DoS-уязвимость в OpenSSH
  3. OpenNews: Обновление OpenSSH 7.2p2 с устранением уязвимости в режиме X11Forwarding
  4. OpenNews: В OpenSSH устранена критическая уязвимость
  5. OpenNews: Уязвимость, позволяющая обойти защиту от BruteForce-атак в OpenSSH
  6. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49142-openssh
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, bar0metr (?), 08:18, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну вот, приехали...
     
     
  • 2.20, Аноним (20), 12:30, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Посоветуйте достойную открытую альтернативу OpenSSH. Там уязвимость на уязвимосте.
     
     
  • 3.22, A.Stahl (ok), 12:37, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Приехали. Гражданин, освободите вагон.
    >на уязвимосте

    Гражданина, выходяйте из трамвавайа. Чух-чух ездяет у деппо.

     
     
  • 4.23, Аноним (20), 12:42, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не кривляйся
     
  • 3.26, Аноним (26), 13:24, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    telnet
     
     
  • 4.29, sdog (ok), 15:33, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    over ssl
     
     
  • 5.36, Anonymouss (?), 17:27, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ssh over ssl...
    есть ли смысл?
     
  • 5.51, Аноним (51), 12:56, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    осциллограф овер ССЛ

    (ну, я лично знавал электронщиков 90-го уровня, которые используют осциллограф вместо дебаггера, так что подумал, что аналоговый аутентификатор, и туннель канального уровня с глубинным обучением вполне реальны)

     
  • 4.40, Аноним84701 (ok), 20:33, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > telnet

    тогда уж rlogin, rsh - там уже лет 20 как уязвимостей не находили!

     
     
  • 5.42, ыртулз (?), 21:04, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дадад, это обалденная альтернатива. 20 лет как никто этим не хочет в здравом уме пользоваться.
     

  • 1.2, Аноним (2), 08:18, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита

    Так, а вот с этого места, пожалуйста, по подробнее и с консольными командами.

     
     
  • 2.3, KonstantinB (ok), 08:40, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    С какими командами? Защита там из коробки. То, что сейчас обнаружили и исправили - это то, что защита не срабатывает, если специальным образом повредить пакет.
     
     
  • 3.16, Аноним (16), 11:40, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > То, что сейчас обнаружили и исправили

    Еще не исправили.

     
     
  • 4.53, PereresusNeVlezaetBuggy (ok), 14:18, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз именно что кто-то обратил внимание на один из коммитов и понял, что решаемая им проблема больше, чем может показаться на первый взгляд. Пройдите по ссылке к новости, что ли...
     
  • 2.4, Аноним (4), 08:46, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Читаем чуть дальше и ...это тоже не панацея
     
     
  • 3.6, Харитон (?), 08:55, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    4k ключ поможет...
     
     
  • 4.59, Аноним (59), 22:49, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    От квантового компьютера то? :)
     
  • 2.7, Нанобот (ok), 09:00, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "присутствует защита" - слишком громко сказано. просто оно спроектировано так, чтобы по ответу сервера нельзя было определить, было ли указано неправильное имя пользователя или неправильный пароль.
     
     
  • 3.12, Аноним (12), 10:27, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну а как бы ты сделал?
     
     
  • 4.13, Аноним (13), 10:56, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "что-то пошло не так" вместо ответа на оба варианта
     
     
  • 5.14, Аноним (14), 11:04, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    нужно не просто одинаково ответить, нужно еще и по времени одинаково обрабатывать запрос. т.к. если на существующего пользователя ты отвечаешь за 200мс, а на несуществующего - 50мс, то вообще плевать, что ты там отвечаешь.
     
     
  • 6.25, Аноним (-), 13:02, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > нужно не просто одинаково ответить, нужно еще и по времени одинаково обрабатывать

    ну добавить 150с ожидания в первом случае. Или рандомное время ожидания (до определенного значения) добавлять ко всему


     
     
  • 7.28, PereresusNeVlezaetBuggy (ok), 15:10, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну вот примерно так и сделано было. Только промахнулись с одним вариантом развития событий.
     
     
  • 8.32, Аноним (32), 16:36, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кривая обработка от тайминг аттак ... текст свёрнут, показать
     
  • 7.30, Ан (??), 15:36, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не добавить, а фиксированное время обработки ввести. Например, 2 минуты =)
     
  • 4.52, Нанобот (ok), 13:36, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну а как бы ты сделал?

    я бы сделал именно так, как сделано в openssh

     

  • 1.5, lone_wolf (ok), 08:55, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Эм а патчи уже какие-то есть? И кто нибудь знает номер этой проблемы, чтоб можно было в ченжлоге к обновленному пакету смотреть исправлена эта проблема или нет.
     
     
  • 2.50, yrii2121 (ok), 10:45, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Tracked issues without a CVE name.
    https://security-tracker.debian.org/tracker/TEMP-0906236-B6E4B3
     
  • 2.54, PereresusNeVlezaetBuggy (ok), 14:19, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В первоисточнике вполне чётко показано, что уязвимость нашли уже после её исправления.
     

  • 1.8, Аноним (8), 09:12, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Ну узнает хацкир, что у меня есть в системе пользователи с именем root и "I+i4Jl[t5h>}|<" , дальше что? Потом узнает, что в системе работает fail2ban и  firewall настроенные, и пускают туда только по ключам.
     
     
  • 2.58, Maxim (??), 15:30, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    С такой энтропией (~84bit) на гигабитном канале (условно 1 000 000 пакетов в секунду) и при отсутствии fail2ban и DDoS protection - миллиарды лет.
     

  • 1.9, A.Stahl (ok), 09:28, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Совсем сайт поломали. Ну тогда сами исправляйте глупые ошибки в тексте.
     
     
  • 2.18, Michael Shigorin (ok), 12:17, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Совсем сайт поломали. Ну тогда сами исправляйте глупые ошибки в тексте.

    Гм, ну исправил, вроде "патч" ушёл...

     
     
  • 3.24, A.Stahl (ok), 13:01, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У тебя есть какой-то доступ ближе к сути? У меня вообще не было кнопки отправить изменения. Да и как-то последнее время сайт себя странно ведёт: там вылезет, там перекосит, там ещё фигня какая-то.
     
     
  • 4.31, Michael Shigorin (ok), 16:26, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У тебя есть какой-то доступ ближе к сути? У меня вообще не
    > было кнопки отправить изменения. Да и как-то последнее время сайт себя
    > странно ведёт: там вылезет, там перекосит, там ещё фигня какая-то.

    Это не кнопка, а ссылка -- справа внизу под текстом новости на основной её странице:

    ---
    исправить  +11 +/–
    --- https://www.opennet.ru/opennews/art.shtml?num=49142

     
     
  • 5.33, A.Stahl (ok), 16:47, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неужели моё сообщение НАСТОЛЬКО невразумительно? Я могу зайти в режим редактирования, но там нет кнопки коммита.


     
     
  • 6.34, Michael Shigorin (ok), 16:50, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Неужели моё сообщение НАСТОЛЬКО невразумительно?

    Как минимум для меня, выходит, да.

    > Я могу зайти в режим редактирования, но там нет кнопки коммита.

    Всю дорогу были кнопки "сохранить" и "восстановить" опять же справа внизу под формой редактирования существующей новости.  Сломать или потерять не пробовал, правда.

     
  • 6.39, Аноним84701 (ok), 20:28, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Неужели моё сообщение НАСТОЛЬКО невразумительно? Я могу зайти в режим редактирования, но
    > там нет кнопки коммита.

    У меня (но только в "нефорумном" режиме просмотра) есть. У Михаила есть. Даже у простого, неномерного анонима - тоже есть (зашел и проверил). И только у вас нет. Выводы прямо таки напрашиваются :)


     
  • 6.47, КО (?), 08:15, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ctrl+0 не помогает?
     

  • 1.10, Аноним (10), 09:37, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вы всё ещё используете ssh с паролем? Тогда мы идём к вам!
     
     
  • 2.15, Аноним (15), 11:09, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    во времена дырявых процессоров использовать ключи не слишком надежнее.
    разве что использовать одноразовые пароли распечатанные на бумажке.
     
     
  • 3.17, A.Stahl (ok), 12:07, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во вторую мировую британская разведка смогла пебедить даже шифрблокноты. Именно математически, а не кражей материалов.
    Даже шифрблокнотам нет веры, хотя казалось бы...
     
     
  • 4.19, Пользователь Debian (?), 12:26, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Шифроблокнот длиной с общую длину всех сообщений, зашифрованных с его использованием (или длиннее) невозможно победить математически — даже во Вторую Мировую.
     
     
  • 5.21, A.Stahl (ok), 12:33, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И?
     
     
  • 6.27, anonymous (??), 13:50, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    и значит что сказаное тобой лишь флюродросинг могучей сильной светлой и чистой как роса на утреннем солнце западной науке.
     
  • 2.35, Пшшш (?), 16:53, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Использую SSH с паролем+TOTP RFC 4226. Приходите, буду рад.
     
     
  • 3.38, имя (?), 17:57, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    так не честно.

    Мы для vpn тоже так, а вот для ssh как-то проще с ключами, хотя так наверное даже безопаснее.

     

  • 1.37, Аноним (37), 17:33, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    придут же ;)
     
  • 1.41, Ilya Indigo (ok), 20:58, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Апстрим на это как-то отреагировал?
     
     
  • 2.55, PereresusNeVlezaetBuggy (ok), 14:20, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На что? На то, что обнаружили уязвимость в коде, который был уже пропатчен?
     
     
  • 3.56, Ilya Indigo (ok), 14:27, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > На что? На то, что обнаружили уязвимость в коде, который был уже
    > пропатчен?

    1 Из текста новости не понятно исправлена она или нет.
    2 Апстим должен выпускать обновления, а не патчить.

     
     
  • 4.57, PereresusNeVlezaetBuggy (ok), 14:32, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> На что? На то, что обнаружили уязвимость в коде, который был уже
    >> пропатчен?
    > 1 Из текста новости не понятно исправлена она или нет.

    Поправьте автора новости?

    > 2 Апстим должен выпускать обновления, а не патчить.

    И выпустит. Проблема критической не считается, так что внеочередного релиза, скорее всего, не будет (но я с djm@ водку по утрам не пью, так что зарекаться не буду).

     

  • 1.43, Аноним (43), 22:29, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    PoC: http://seclists.org/oss-sec/2018/q3/125
     
     
  • 2.49, Ващенаглухо (ok), 09:04, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    чет paramiko не заработал
     

  • 1.44, Аноним (44), 00:31, 17/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Фейспалмище! То есть они специально работали над выравниванием времени в том и другом случае, но при этом оставили разное поведение?
     
     
  • 2.45, Стоп (?), 01:30, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это OpenSSH. А Фейспал за углом в трех кварталах отсюда.
     
  • 2.48, КО (?), 08:17, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поведение разное в третьем и четвертом случае. В первых двух выровняли.
     

  • 1.46, Аноним (46), 03:48, 17/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Похожая проблема openssh от 2016 года https: https//www.opennet.ru/opennews/art.shtml?num=44802
     
     
  • 2.60, Аноним (60), 07:00, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты вручную адрес ссылки что ли писал?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру