[OBRAZ] Jak poinformował nas Ha2r4s, ostatnia wersja OpenSSH zawiera błąd który umożliwia na zdalne zdobycie praw administratora. Na błąd również narażone są starsze wersje OpenSSH.
Błąd związany jest już ze znaną funkcją priv(). Wydana niedawno wersja OpenSSH 3.3 jest uzupełniona w nową wersje funkcji priv() ale niestety jeszcze jest niedopracowana. Aby pozbyć się "złej" konfiguracji i błedu, należy zrobić update do nowszej wersji sshd 3.3pe1 która zostanie wydana za parę dni - w piatek (bądź, poczekać do poniedziałku na wersję 3.4). Dodatkowo w pliku konfiguracyjnym sshd należy zaznaczyć sekcje priv na "yes" czyli:
UsePrivilegeSeparation yes
Po zaznaczeniu tej opcji, demon sshd może działać niestabilnie, ale za to będzie bardziej bezpieczny niż dotychczas. Opcje ta znajduje sie w pakietach sshd 3.3 na Solarisa i Linux x86.
Sam sshd ma ponad 27 000 linii czystego kodu i większą ilość kodu wykorzystywana jest z prawami root'a Jednak kiedy zostanie włączona opcja privsep to jedynie 2500 lini będzie wykorzystane z prawami root, a pozostałe beda wykorzystywane przez chroot-jail. Szczegółowy opis i zasada działania tej funkcji dostępna jest tutaj, natomiast dodatkowe informacje na ten temat znajdują się w tym artykule.
[OBRAZ] Więcej o OpenSSH
Problemy z OpenSSH
Zabezpieczenia |
Wt, 25 Czerw 2002 21:22:41 +0200 |
Autor:
Redakcja
| Czytań: 2305
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9630 pkt.
2
grzemach 850 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 130 pkt.
6
elmocamp 100 pkt.
7
Tommy 100 pkt.
8
Scoti 80 pkt.
9
sevar 60 pkt.
10
Maximus 50 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.