Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found

[ Thread Index | Date Index | More lists.tuxfamily.org/actux Archives ]


Salut,

2008/5/16 dermiste <dermiste@xxxxxxxxx>:
> j'ai regardé de quoi il retournait sur full-disclosure : en gros c'est
> juste une réduction de l'entropie de la bi-clé utilisée dans
> l'authentification par bi-clé RSA (65536 bi-clés possibles). Mais pour
> prendre pied sur le serveur, il est nécessaire qu'il existe une telle
> bi-clé biaisée dans le .ssh/authorized-keys,

Exactement et le cas n'est pas si isolé (on en a trouvé au moins une
sur un serveur que je co-administre). Deux ans, ça laisse pas mal de
temps pour générer des clés. Toutes les Debian, Ubuntu, Mepis, ...
installées depuis 2 ans par exemple. Ou tous les utilisateurs qui ont
créés leur clé ssh. :-)

> et il n'y a pas d'autre
> alternatives que de faire un bruteforce pour se connecter. Avec un
> fail2ban doté d'une durée de ban de 10 minutes et bannissant au bout
> de 6 tentatives, en une journée on ne teste que 6*(60/10)*24 = 864
> clés.

Tout le monde n'a pas un fail2ban. Apparemment, un exploit circule qui
permet d'entrer dans une machine en 20 min.

Qui plus est, même si on a une clé DSA valide, le fait d'utiliser une
clé DSA compromise pour identifier le serveur ouvre une faille qui
permet d'exploiter la session ssh en cours.

> Encore une fois, beaucoup de bruit pour pas grand chose ...

Pas du tout d'accord ! La faille est grave et c'est un problème
sérieux, qui touche *énormément* de monde.

>Si, une lecon à retenir : on ne s'improvise pas expert crypto

Oui. Mais c'est là le problème : le correctif initial ne *semblait*
pas toucher aux parties crypto.

Amicalement,
d.



Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/