Fallos en Openssh Debian Etch

Nombre original, so sue us. Si tienen dudas o sugerencias sobre programas particulares, discutámoslas aquí.

Fallos en Openssh Debian Etch

Notapor nikitux el Vie Dic 07, 2007 5:46 pm

Hola de nuevo yo tratando de aprender y entender ciertas cosas , en este post quiero comentarles a ver si alguien me saca la duda sobre unos problemas del openssh.
Acabo de instalar en una VMachine para la prueba Debian-40r1-i386 el ultimo creo y me encuentro que al instalar openssh-server te instala la version OpenSSH_4.3p2 Debian-9 , terminada la instalación escaneo escaneo el servicio otra vez con el Shadow Security Scanner (repito no se si es confiable) y me aparecen 4 vulnerabilidades de mediano riesgo que le paso a enumerar:

OpenSSH Duplicated Block Remote Denial of Service Vulnerability (esto es el final de la explicación del fallo)
This issue only occurs when OpenSSH is configured to accept SSH version one traffic.
Reviso en el archivo sshd_config solo tengo puesto Protocol 2 , hay algun otro parametro que habilite el Protocol 1 sin hacer referencia a el?

[b]OpenSSH SKey Remote Information Disclosure Vulnerability[b] (este no me puse a verlo)

[b]Portable OpenSSH GSSAPI Authentication Abort Information Disclosure Weakness[b]
[b]Portable OpenSSH GSSAPI Remote Code Execution Vulnerability[b]

Con respecto a la parte de GSSAPI por lo que leí supuestamente el parametro GSSAPIAuthentication solo usable en la version 2 del ssh y viene en esta version deshabilitado por defecto , entonces porque me da la falla? Igualmente lo agregué como parametro por las dudas en el sshd_config "GSSAPIAuthentication no".
Lo que no termino de entender es porque una version de un servicio que supuestamente está estable tiene fallos de seguridad en la configuración inicial.
En otro servidor de prueba pude solucionarlo instalando la version más nueva descargando los fuentes de la ultima version creo que es la OpenSSH 4.7/4.7p1.

Saludos Nikitux
nikitux
 
Posts: 20
Registrado: Dom Sep 23, 2007 10:45 pm

Fallos en Openssh Debian Etch

Sponsor

Sponsor
 

Re: Fallos en Openssh Debian Etch

Notapor buanzo el Vie Dic 07, 2007 6:49 pm

Lo que no terminas de entender, es que cada distribucion tiene su propia idiosincrasia... o sea, no necesariamente usan la config de los developers del openssh, sino la que les parece (lo cual puede estar bien, o mal, o neutro, digamos...).

La idea es que si no te pones media pila y securizas tu server mientras lo instalas / ni bien lo terminas de instalar y mientras lo usas (o sea, siempre), la distor no te va a salvar de nada, porque ellos tambien son humanos y se mandan cagadas...

Y ahora... algo que dije en una charla mia....:

Muchas veces me preguntan si prefiero usar un Debian stable que traiga paquetes viejos, o algo mas bien bleeding edge como Gentoo Unstable, o directamente por sources de cada aplicacion...
El tema es que la politica de "Usar software viejo" para lograr seguridad/estabilidad tal vez parezca piola, pero el tema es que a veces se audita el software, se encuentra una POTENCIAL vulnerabilidad, pero como al momento de ser descubierta no existen tecnicas de explotacion de la misma, se la pasa de lado.
Por otra parte, con el software ultra nuevo, o desde sources, tenemos la ventaja de que seguro tiene mas funcionalidad y generalmente proteje de los fallos que van apareciendo... pero no nos proteje de los PROXIMOS agujeros :P
Pero, en resumidas cuentas, una vulnerabilidad no corregida porque 'no valia la pena / era dificil de explotar' tal vez sea explotable AHORA... y ya que va a ser vulnerable usar tanto software nuevo como viejo, prefiero el software nuevo ya que, al menos, es mas funcional.
Avatarde Usuario
buanzo
Administrador
 
Posts: 673
Registrado: Sab Dic 09, 2006 11:17 am
Ubicación: Buanzonia (ok, Florida, Buenos Aires)

Re: Fallos en Openssh Debian Etch

Notapor nikitux el Lun Dic 10, 2007 3:37 pm

Bueno en principio te agradezco por la rapida respuesta , pero me tomé unos dias para analizar bien lo que me dijiste y hacer unas pruebas sobres distintas distros.

Paso a contarte y a los que le interese, que tanto Debian Etch como Ubuntu Feisty actualizado a unstable usan la version de openssh-server 4-6p1-7 la cual arregla 3 de los anteriores fallos y sigue dando el de "OpenSSH S/Key Remote Information Disclosure Vulnerability".

La verdad no se si será algun problema de configuración que no encontré o si es por como está compilado , pero solamente pude solucionar ese fallo instalando la versión OpenSSH 4.7/4.7p1 desde los fuentes.

Otra cosa que me llamó la atención y fue que al escanear un IPCOP 1.4.15 que tiene como version de ssh la 4.5 que no tiraba el fallo y me encontré con la sorpresa que el Shadow Security Scanner solo marca los fallos si el servicio corre en el puerto Standar :x y como el IPCOP lo trae en el 222 no lo detectaba, probé a cambiarlo al 22 y me encotré que tiene el mismo problema que los anteriores mensionados.

iguamente me quedo con las dudas si en las versiones anteriores alguien pudo solucionarlo solo cambiando paramentros en el sshd_config sin tener que actualizar a la nueva version o recompilando esa version quitando los soportes a las funciones que daban los errores , de ser así sería barbaro saber como hicieron.

Como ultimo dato instalé Fedora 8 para probar y ya viene con la ultima version del openssh la 4.7 y no me dio errores al escanearlo.

Saludos Nikitux
nikitux
 
Posts: 20
Registrado: Dom Sep 23, 2007 10:45 pm

Re: Fallos en Openssh Debian Etch

Notapor buanzo el Lun Dic 10, 2007 6:59 pm

Y que sources.list estas usando en esos debian/ubuntu?
Avatarde Usuario
buanzo
Administrador
 
Posts: 673
Registrado: Sab Dic 09, 2006 11:17 am
Ubicación: Buanzonia (ok, Florida, Buenos Aires)

Re: Fallos en Openssh Debian Etch

Notapor nikitux el Lun Dic 10, 2007 10:09 pm

En el Debian puse

deb http://ftp.debian.org/debian/ unstable main contrib non-free
deb-src http://ftp.debian.org/debian/ experimental main contrib non-free

y probé con el comando :

apt-get -t unstable -s -d openssh-server
apt-get -t experimental -s -d openssh-server
en ambos casos recibí la misma version:
Inst openssh-server [1:4.6p1-5] (1:4.6p1-7 Debian:unstable)
Inst openssh-server [1:4.6p1-5] (1:4.6p1-7 Debian:experimental)

En el caso de Ubuntu le dejé los que venían
deb http://ar.archive.ubuntu.com/ubuntu/ gutsy main restricted
deb http://ar.archive.ubuntu.com/ubuntu/ gutsy-updates main restricted
nikitux
 
Posts: 20
Registrado: Dom Sep 23, 2007 10:45 pm

Re: Fallos en Openssh Debian Etch

Notapor nikitux el Mar Dic 11, 2007 2:27 pm

El dia de hoy seguí un rato más probando Fedora 8 y despues de hacer un "yum update" veo que me volvió a actualizar la versión del openssh a openssh-4.7p1 , por lo visto los los repositorio de Fedora8 estan más actualizados que los de Debian, al menos los que uso yo.

Con respecto a los de Ubuntu tenes algun repositorio testing como para probar?
nikitux
 
Posts: 20
Registrado: Dom Sep 23, 2007 10:45 pm


Volver a Software

¿Quién está conectado...?

Usuarios navegando este Foro: No hay usuarios registrados visitando el Foro y 3 invitados

cron