Repository 32bit  Forum
Repository 64bit  Wiki

OpenSSH Signal Handling Vulnerability : sono vulnerabile?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

OpenSSH Signal Handling Vulnerability : sono vulnerabile?

Messaggioda ZeroUno » mer gen 11, 2012 12:13

Devo controllare se sono vulnerabile ad un exploit di Signal Handling di OpenSSH
CVE-2006-5051 e CVE-2006-4924

vedere la versione di ssh non è sufficente.
Ho un openssh 4.3 (la fix è implementata nella 4.4) ma è un ssh che contiene backport di alcune patch di sicurezza.

Esiste uno script che mi può effettuare il test o tentare l'attacco?


Per esempio con il bug di apache (riguardo il ByteRange) esiste uno script che tenta l'attacco e ti dice se sei vulnerabile o meno.
Per il bug in oggetto invece non sono ancora riuscito a trovarlo.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4299
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: OpenSSH Signal Handling Vulnerability : sono vulnerabile

Messaggioda notsafe » mer gen 11, 2012 15:18

CVE-2006-4924: http://www.securityfocus.com/bid/20216/exploit

per l'altro invece,da una veloce ricerca,non mi pare ci siano proof-of-concept
notsafe
Linux 2.4
Linux 2.4
 
Messaggi: 451
Iscritto il: mar mar 21, 2006 11:00

Re: OpenSSH Signal Handling Vulnerability : sono vulnerabile

Messaggioda ZeroUno » mer gen 11, 2012 15:42

grazie.
lo cercavo ma non lo trovavo.
Mi restituisce

[*] OpenSSH Pre-Auth DoS PoC by taviso@google.com
[*] Attacking localhost...
[*] remote server identifies as SSH-2.0-OpenSSH_4.3.
[*] IP spoofing cookie was 61 6a 6f 72 20 76 65 72.


da notare comunque che se non erro è affetto il protocollo sshv1, mentre io ho nel mio sshd_config

Protocol 2

comunque sono riuscito a trovare il changelog della versione ssh che ho installata:

* Tue Oct 03 2006 Tomas Mraz <tmraz@redhat.com> - 4.3p2-10
- improve gssapi-no-spnego patch (#208102)
- CVE-2006-4924 - prevent DoS on deattack detector (#207957)
- CVE-2006-5051 - don't call cleanups from signal handler (#208459)

(redhat 5)

in pratica tutto questo è perchè mi sono stati fatti, al lavoro, i penetration test, e mi hanno segnalato questa vulnerabilità e marcata come alta priorità. Ma a quanto pare si sono limitati a vedere che il banner gli diceva openssh 4.3 e non hanno fatto il vero e proprio test di attacco.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4299
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: OpenSSH Signal Handling Vulnerability : sono vulnerabile

Messaggioda masalapianta » mer gen 11, 2012 16:33

i VA (perlomeno in Italia) si fanno così (a differenza dei pentest); tramite tool precotto (nessus o altro tool proprietario) fanno uno scan, senza testare la vulnerabilità; il che è comprensibile, l'exploit può portare disservizio o casini vari su roba in produzione, il problema poi è far capire al service manager di turno che su nessun sistema operativo serio gli update di sicurezza innalzano la versione dei pacchetti (perchè una nuova versione potrebbe portare casini di retrocompatibilità, funzionalità non più supportate, ecc..), ma si limitano a far backporting del fix sulla versione corrente.
Purtroppo ad ogni VA tocca andare su redhat network, cercare i pacchetti, pigliare il changelog ed andare di CTRL+f :(
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: OpenSSH Signal Handling Vulnerability : sono vulnerabile

Messaggioda notsafe » mer gen 11, 2012 16:47

il che,se baro tutti i banner,significa che sono ultrasicuro a prescindere :)
notsafe
Linux 2.4
Linux 2.4
 
Messaggi: 451
Iscritto il: mar mar 21, 2006 11:00

Re: OpenSSH Signal Handling Vulnerability : sono vulnerabile

Messaggioda masalapianta » mer gen 11, 2012 17:01

notsafe ha scritto:il che,se baro tutti i banner,significa che sono ultrasicuro a prescindere :)

anche a questo dovrebbero servire gli ambienti di collaudo (che in Italia, quando esistono, sono spesso diversi da quelli di produzione, quindi inutili), in modo da poter fare un vero pentest (e se qualche servizio crepa a causa di un exploit chissenefrega, tanto non siamo in produzione) anzichè un controllo dei banner dei servizi o poco più.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: OpenSSH Signal Handling Vulnerability : sono vulnerabile

Messaggioda ZeroUno » mer gen 11, 2012 17:04

masalapianta ha scritto:i VA (perlomeno in Italia) si fanno così (a differenza dei pentest)

dici che quando mi hanno fatto i pentest (si, mi hanno fatto, in tempi distinti, sia VA che pentest; ora ci stiamo occupando dei VA) hanno proprio fatto l'attacco? (beh, in effetti l'hanno fatto sulle macchine di collaudo e non su quelle di produzione). Inizialmente sembrava che pure là si erano limitati a vedere la versione, ma ora che ci penso io la versione di apache (per il byterange) l'ho camuffata in fase di compilazione (è utile, anche se un hacker di professione non lo ferma :-( ).

Purtroppo ad ogni VA tocca andare su redhat network, cercare i pacchetti, pigliare il changelog ed andare di CTRL+f :(

ho appena scoperto il parametro --changelog di rpm.
Codice: Seleziona tutto
$ rpm -q --changelog openssh |grep -3 CVE-2006-5051
* Tue Oct 03 2006 Tomas Mraz <tmraz@redhat.com> - 4.3p2-10
- improve gssapi-no-spnego patch (#208102)
- CVE-2006-4924 - prevent DoS on deattack detector (#207957)
- CVE-2006-5051 - don't call cleanups from signal handler (#208459)

comunque si, è una scocciatura comunque, anche perchè nel VA non ti dicono mica "CVE-xxxxx" ma te lo devi scoprire tu su google, ammesso che esiste.
Per esempio:
http://pastebin.com/9mPj1Tts
CVE ID: -
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4299
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite