gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Mais um buraco no SSH (próximos episódios).
Contribuído por jmce em 25-06-02 12:40
do departamento das-canalizações
Bug Fragger escreve "Aí está. Depois do valente susto com o último bug do Apache, temos a comprovação dos rumores que já circulavam há algum tempo. Vamos ter uma semana atarefada com patches, já que segundo um post do próprio Theo de Raadt, o código do sshd é vulnerável a um bug que parece ser bastante grave já que aconselham o upgrade *imediato* para a versão 3.3 (incluindo também o povo do NetBSD e OpenBSD) e a utilização da nova feature de Privilege Separation (priv sep). Esta nova funcionalidade permite reduzir as cerca de 27.000 linhas de código do sshd que correm como root para apenas 2500. As restantes ficam enjauladas num chroot. A grande questão será em observar qual será a capacidade dos principais fabricantes/distribuidores em darem resposta a patches relativos ao priv sep, de modo a que consigam ganhar a corrida aos exploits que irão surgir. Um passarinho contou-me que já andam por aí exploits relativos a um major bug do Imap. "

Micro$oft e consumer (un)freedom & security | Um português na LinuxTag 2002  >

 

gildot Login
Login:

Password:

Referências
  • susto
  • post
  • Mais acerca Bug
  • Também por jmce
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Gone Away (Pontos:2)
    por buckley em 25-06-02 13:12 GMT (#1)
    (Utilizador Info) http://www.buckley.tk
    acho que foi esse passarinho que alvejei hoje quando acordei.... how unlucky. :)

    e ainda por cima o passaro so' me falou em DoS vuln no 3.3 e n me falou de nada sobre o lmap :\
    Are you in? \00/
    aqui fica pro mesmo na linuxsecurity de ontem (Pontos:2)
    por racme em 25-06-02 20:19 GMT (#12)
    (Utilizador Info)
    http://www.lin uxsecurity.com/articles/cryptography_article-5185.html


    .:What Are you doing Arthas?!
    .:Im succeeding you, my FAtherrr!!!!
    O OpenSSH 3.4 sai na segunda feira... (Pontos:3, Informativo)
    por pls em 25-06-02 22:54 GMT (#14)
    (Utilizador Info) http://pls.mrnet.pt
    Já está no site (openssh.com) o anuncio de que a versão 3.4 vai ser lançada segunda feira...

    PLS
    Re:O OpenSSH 3.4 sai na segunda feira... (Pontos:1)
    por NeVErMinD em 25-06-02 23:17 GMT (#15)
    (Utilizador Info)
    Tendo o OpenSSH 3.3 com "UsePrivilegeSeparation yes" ao que parece nao tas vuneravel, o que quer dizer que mesmo antes de 2 feira podes por o teu sistema imune ao bug.
    Re:O OpenSSH 3.4 sai na segunda feira... (Pontos:2)
    por pls em 26-06-02 0:39 GMT (#17)
    (Utilizador Info) http://pls.mrnet.pt
    Essa parte já está... desde ontem de madrugada...

    PLS
    Re:O OpenSSH 3.4 sai na segunda feira... (Pontos:0, Informativo)
    por Anonimo Cobarde em 26-06-02 18:09 GMT (#29)
    bem, parece que o theo se "despachou" mais cedo (o que os remote holes na default install do openbsd fazem ;) e a versao 3.4 do openssh saiu hoje (quarta). aqui esta' a versao para openbsd, e aqui esta' a versao "portable" do openssh

    so' um pequeno aparte, ja' repararam no novo slogan do openbsd ? :) acho-o particularmente engraçado:
    One remote hole in the default install, in nearly 6 years!

    ps: se formos atraves do url http://www.openbsd.org aparece o novo slogan, mas quando experimntei http://openbsd.org ainda apareceu o antigo (Five years without a remote hole in the default install!). So' para avisar, para evitar uns replies com flames a dizer que o slogan continua igual ;-)
    Re:O OpenSSH 3.4 sai na segunda feira... (Pontos:2)
    por pls em 26-06-02 19:25 GMT (#30)
    (Utilizador Info) http://pls.mrnet.pt
    yap... só a parte de terem lançado os diffs mais cedo é que não teve a graça... o truque de "circo" fica algo exposto.

    Anyway, os servidores a esta hora estão com o 3.3 e separação de previlégios, acho que posso dormir e fazer o upgrage para a 3.4 amanhã... :-)

    PLS
    Re:O OpenSSH 3.4 sai na segunda feira... (Pontos:2)
    por pls em 26-06-02 23:35 GMT (#32)
    (Utilizador Info) http://pls.mrnet.pt
    Prefiro nem comentar essa... :-(

    PLS
    Passarinhos... (Pontos:2)
    por ribeiro em 26-06-02 8:19 GMT (#22)
    (Utilizador Info) http://ruka12.tripod.com
    Andam por aqui uns passarinhos a dizerem-me que vai aparecer um bug no sendmail e outro no Windows 2000.
    Acho que não sabem dizer é quando.
    Bora ligar para a linha da Maia...
    --
    Re:Passarinhos... (Pontos:2)
    por xeon em 27-06-02 1:10 GMT (#34)
    (Utilizador Info) http://pthelp.org
    Da abelha ?
    ...
    -- Reading the FM
    Re:Tantos ? (Pontos:2)
    por ribeiro em 25-06-02 14:37 GMT (#3)
    (Utilizador Info) http://ruka12.tripod.com
    O Windows tem muito mais. Em linux existem várias formas de fazer updates automáticos, mas não recomendo.
    Imagina que é um update automático em Windows estourar-te com um servidor, ou colocar-te um virus. Não digas que isto nunca te aconteceu com um SP...
    --
    Re:Tantos ? (Pontos:1, Despropositado)
    por higuita em 25-06-02 18:59 GMT (#11)
    (Utilizador Info) http://raff.fe.up.pt/~eq92025/
    Es mm ave rara...

    antes de abrires tambem o bico, que tal leres este link...

    http://www.gildot.org/comments.pl?sid=02/06/25/1241202&cid=2

    o window$ foi referido porque outro AA ja' o tinha feito

    Higuita
    Re:Tantos ? (Pontos:2)
    por Gimp em 25-06-02 14:43 GMT (#4)
    (Utilizador Info)
    O problema é quando é que te notificam. Aparece o bug e só passado 6 meses é que se lembram de lançar um patch e às vezes a correcção mete outro bug :-))).


    "No comments"

    Re:Tantos ? (Pontos:2)
    por xeon em 27-06-02 1:07 GMT (#33)
    (Utilizador Info) http://pthelp.org
    "'as vezes" ?

    -- Reading the FM
    Re:Tantos ? (Pontos:2)
    por [WaR] em 25-06-02 14:47 GMT (#5)
    (Utilizador Info) http://war.genhex.org/
    > até pode fazer updates sem precisar de intervenção humana.

    Isso ao contrário do que possa parecer, não é bom.
    É sempre necessário avaliar o impacto que um update possa trazer para o sistema em produção.
    E convém testar muito bem antes, já que a M$ não o faz :>

    -- [WaR]
    "If you can't hack it, hit it with a hammer"
    Re:Tantos ? (Pontos:2)
    por vd em 25-06-02 15:36 GMT (#7)
    (Utilizador Info) http://paradigma.co.pt
    Pode ser que seja spyware mas dá um jeito do caraças. gostava era de saber se algum dia as empresas de Linux vão ter capacidade de fazer algo assim ?

    Nao sejamos mauzinhos..

    O novo "auto update" da RedHat pareceu-me simples e funcional, pelo menos assim 'a primeira vista.



    Cumprimentos,
    vd
    Re:Tantos ? (Pontos:1)
    por paulino em 25-06-02 16:54 GMT (#8)
    (Utilizador Info)
    Se querem o Conectiva/Debian Linux sempre atualizado rodem o sequinte scr1pt como root em background:
    #!/bin/sh
    while true; do
    apt-get update && apt-get upgrade
    done
    :)
    Re:Tantos ? (Pontos:2)
    por Lowgitek em 25-06-02 18:50 GMT (#10)
    (Utilizador Info) http://www.ideiasdigitais.co.pt
    Nem dava vontade de responder a esse post que parece ter sido feito por um cego e que vive a anos luz da realidade.

    A redhat ja implementa isso de forma muito melhor que a microsoft a mandrake tb a suse para não dizer mais penso que seja uma amostra bastante significativa.

    A principal vantagem por exemplo e que ao inves do windowsupdate que existe para espiolhar e sacar dados sobre o que existe no teu pc para alem de ao meu ver violar uma serie de direitos teus e ainda instalar patchs que modificam de tal modo o teu sistema chegando ao ponto de por este num estado não funcional e ainda por cima a juntar isso tudo nao faz o update das minhas outras aplicações não windows e que nao façam parte do sistema salvo rara excepçoes.

    Ja para nem falar da miséria dos drivers... enfim...

    ACORDA !

    Em relação ao numeros de bugs penso que querias ser sarcastico quando disseste isso.
    Já que estás com a mão na massa (Pontos:1)
    por PimpMastah em 25-06-02 22:41 GMT (#13)
    (Utilizador Info)
    Faz-me aí um dump dos "dados" que o windows update "saca" e "espiolha" do teu computador...

    E já agora mostra-me aí um tcpdump com os teus "direitos" a serem violados...

    Se não te der muito trabalho, claro...

    Re:Já que estás com a mão na massa (Pontos:2)
    por higuita em 26-06-02 2:48 GMT (#18)
    (Utilizador Info) http://raff.fe.up.pt/~eq92025/
    nem que seja indirectamente...

    ao acederes ao windowsupdate ele verifica, pelo menos no XP, a tua licenca... depois pelos updates que sacas sabe-se facilmente o que la' tens
    pelo menos no win98, a 1º vez que ligavas ao windowsupdate ele dava-te um numero identificador, usado sempre depois
    sabe-se la' se este numero nao e' lido em mais nenhuma altura... tipo ires ler mails ao hotmail...

    isto para nao falar das varias coisinhas, tipo tocares um mp3 e a M$ saber... existem varias noticias sobre isso, se nao as viste e' porque nao queres ver

    experimenta la' ligar o tcpdump e mexer no windows durante uns tempos, sem nunca ligares a M$ e depois ve os resultado de umas ligacoes aos sites da M$...

    se acreditas tanto na M$, explica la' os varios patchs que a M$ foi lancando sobre varias invasoes de privacidade...
    explica la' como o gajo do "iloveyou" foi apanhado gracas ao id unico do office que era inserido nos documentos... apenas depois desta revelacao e' que a M$ se lembrou de lancar uns patchs para "corrigir" o problema
    sera' que ela propria nao sabia da existencia deste metodo de identificacao?

    Higuita
    Re:Já que estás com a mão na massa (Pontos:1)
    por PimpMastah em 26-06-02 9:54 GMT (#24)
    (Utilizador Info)
    sabe-se la' se este numero nao e' lido em mais nenhuma altura... tipo ires ler mails ao hotmail...

    Sabe-se lá se tu não és um imbecil.... Será que descubro se fizer tcpdump ?

    Bom, mas eu perguntei especificamente sobre o windowsupdate. Se não sabes responder concisamente mais vale estares calado.
    Re:Já que estás com a mão na massa (Pontos:1)
    por higuita em 27-06-02 2:06 GMT (#35)
    (Utilizador Info) http://raff.fe.up.pt/~eq92025/
    devo ser um imbecil, pois continuo a responder a um troll...

    ora rele o meu comentario, principalmente a parte do "nem que seja indirectamente" ou a do "no win98 ele dava-te o uid"... julgas que ele nao e' enviado, que esta' la' para enfeitar (as tantas...)

    Higuita
    Re:Já que estás com a mão na massa (Pontos:2)
    por ribeiro em 26-06-02 6:03 GMT (#21)
    (Utilizador Info) http://ruka12.tripod.com
    Existe ferramentas da M$ que listam por rede o software que tens instalado no teu PC. Eu até acredito que no Windows Update, não vêm nada.
    O tio Bill coitado, é muito honesto, não era capaz de fazer uma coisa dessas.
    --
    Re:Já que estás com a mão na massa (Pontos:2)
    por MavicX em 26-06-02 11:35 GMT (#26)
    (Utilizador Info)
    Primeiro é melhor ires informar-te do passado. Toda a gente sabe que em 1999 a Microsoft se viu envolvida numa polémica em que a M$ criava uma identificação numérica baseada no teu hardware quando fazias o registo do windows. E sempre que te ligavas ao site da microsoft para fazer updates eles sabiam que eras tu e o que estavas a saber. Alem disso esse numero estava relacionado com a criação de documentos do Office 97 que tu criavas.

    Se queres saber mais vê este artigo e não digas asneiras http://www.wired.com/news/print/0,1294,18405,00.html

    É claro que a microsoft já resolveu essa quebra de direitos de privacidade que vieram a publico. Mas não se sabe se tem mais alguns na manga. Pelo menos da fama não se livra.

    Pedro Esteves

    Re:Já que estás com a mão na massa (Pontos:1)
    por PimpMastah em 26-06-02 9:57 GMT (#25)
    (Utilizador Info)
    Mais um imbecil... Hoje acordaram todos.

    Não te esqueças da backdoor para a MS ver o teu pr0n, para a D. Solange da padaria e para a Madame Gigi do bordel ao pé da sede da MS.

    Mas respondo o mesmo que respondi acima, mostra lá os logs disso durante um windowsupdate :)
    Re:Já que estás com a mão na massa (Pontos:3, Informativo)
    por Maeglin em 26-06-02 11:49 GMT (#27)
    (Utilizador Info)
    isto está no site do windows Update

    "Declaração de privacidade do Windows Update
    O Windows Update está empenhado em proteger a privacidade dos seus utilizadores. No entanto, para lhes fornecer a lista de actualizações apropriada, o Windows Update necessita de recolher determinadas informações dos computadores a que se destinam. Estas informações incluem:

    O número da versão do sistema operativo e o número de identificação do produto
    O número da versão do Internet Explorer
    Os números das versões de outros softwares
    Os números de ID de Plug and Play dos dispositivos de hardware
    O número de identificação do produto (ID de produto) destina-se a confirmar se a cópia do Windows utilizada tem uma licença válida. Essa licença garante ao utilizador uma recepção atempada das actualizações do Windows Update. O Windows Update não recolhe o nome, endereço de residência, endereço de correio electrónico ou outras informações pessoais que permitam identificar o utilizador. As informações recolhidas sobre a configuração não são guardadas, mas utilizadas apenas durante o tempo em que o utilizador visita o site.

    Para fornecer aos utilizadores o melhor serviço possível, o Windows Update também identifica e regista o número de máquinas que visitam o seu site e se a transferência e instalação de determinadas actualizações foram ou não bem sucedidas. Para isso, o Windows gera um identificador exclusivo global (GUID) que é armazenado no computador a fim de permitir a sua identificação exclusiva. O Windows Update regista o GUID do computador que tentou fazer a transferência, o ID do item que o utilizador tentou transferir e instalar, bem como as informações relativas à versão do sistema operativo e do Internet Explorer.

    Uma vez que o Windows Update não recolhe informações pessoais do utilizador, as informações sobre a configuração e o GUID não podem ser utilizadas para identificar o utilizador."

    Quem quiser acreditar , acredita...
    Basta lembrar que no MediaPlayer isto não era verdade.


    "As opiniões têm um inimigo mortal:os factos que , tarde ou cedo , se hão-de impor"
    Re:Já que estás com a mão na massa (Pontos:2)
    por higuita em 27-06-02 2:52 GMT (#36)
    (Utilizador Info) http://raff.fe.up.pt/~eq92025/
    tu deves ser daqueles que tem o windows todo desprotegido, pois confia na M$ E mesmo que ela tenha feito asneira, os piratas nao querem o teu PC para nada, nao tem nada de interesse...

    continua a pensar assim e depois nao te queixes se o teu disco aparecer um site de warez ou a PJ bater a tua porta...

    sobre as backdoors, procura na net a noticia sobre um dll qualquer de encriptacao que a M$ se esqueceu de fazer strip, que mostrava la' 2 chaves de acesso para a NSA e uma para a M$

    Higuita
    Re:Já que estás com a mão na massa (Pontos:2)
    por Maeglin em 27-06-02 11:54 GMT (#37)
    (Utilizador Info)
    já agora so mais esta noticia acerca da nossa amiga MicroSoft "

    Win-XP Search Assistant silently downloads files
    By Thomas C Greene in Washington
    Posted: 11/04/2002 at 20:47 GMT

    Just over a week ago, while searching for a file on a Windows-XP machine, I was surprised to see the Search Assistant attempting to activate my Internet connection. It puzzled me because I wasn't searching the Internet, only my local drive. I was busy with other things at the time, but I made a mental note to look into it soon, which I promptly forgot to do.

    This morning, Reg reader Jody Melbourne rattled my cage, fresh from having made the same discovery. He'd noticed that the Assistant was establishing a connection with a machine at Microsoft.

    "I did not give Microsoft permission to know what files I am searching for on my local hard-drive," Jody wrote.

    Indeed, and neither had I. So I connected an XP box to my ISP, started a packet sniffer, and launched the Search Assistant. Sure enough, it immediately connected to http://sa.windows.com/ and fetched a number of files. But it didn't attempt to send any data to the site, beyond comparing my locally-stored versions of those files to the ones on the server.

    But when I performed an Internet search, the Assistant sent my search terms to the Microsoft site, and also dropped a session cookie on my machine.

    Phoning home?
    One of the files the Assistant fetches is the MS Search Companion privacy statement. This is done for P3P compliance. According to the statement, MS doesn't collect information about local searches. "No information is ever collected by Search Companion when you search your local system, LAN, or intranet for any reason."

    I certainly didn't pick up anything to contradict that. But there is some obvious collecting when SA is used to search the Internet.

    "When you search the Internet using the Search Companion, the following information is collected regarding your use of the service: your IP address, the text of your Internet search query, grammatical information about the query, the list of tasks which the Search Companion Web service recommends, and any tasks you select from the recommendation list."

    "Search Companion does not record your choice of Internet search engine, and does not collect or request any personal or demographic information. Information collected by the Search Companion cannot be used to identify you individually, and is never used in conjunction with other data sources that may contain personal data."

    Hopefully there aren't too many loopholes in that, though I rather think the user's IP can be considered personally identifying. However, MS tells us that the policy statement is out of date. IPs were logged for testing purposes during the XP beta period; but since the product launch, there has been no IP logging.

    In addition to the privacy statement, the remaining files fetched are XSL (Extensible Stylesheet Language) stylesheets:
    transform.xsl
    balloon.xsl
    prevectr.xsl
    vector.xsl
    boolean.xsl
    pretrans.xsl
    transform.xsl

    Users curious to know exactly what they contain can quite easily locate them on their local machine and have a peek. According to MS, they're simply used to maintain up-to-date associations between file extensions and file types, to make searching more productive.

    I'm not acquainted with XSL, so I'm in no position to affirm that or to argue with it, but I'd be pleased to hear from readers who can shed additional light on the subject.

    For now it appears that there's nothing here for users to worry about. But there is a question about MS playing fast and loose with people's Internet connections. Certainly, the minute one ventures onto the Web, one starts bleeding information all over the place, fetching images and ads and taking cookies from secondary and tertiary sources too numerous to mention.

    But when we run an application for some local business like a file search, we don't expect it to connect silently to the Net, even for a good reason. When we discover something like this, it feels like someone else is in control of our computer, and that is definitely not a good feeling.

    If Trustworthy Computing is going to mean anything, it's going to have to mean that actions like file downloads aren't going to happen without the user's knowledge and consent. A simple popup asking if one wants the latest XSL files with the options to decline, to be asked each time, or to grant permission to go ahead without further consultation is all that would be needed. ® "


    "As opiniões têm um inimigo mortal:os factos que , tarde ou cedo , se hão-de impor"
    Re:Tantos ? (Pontos:2)
    por ribeiro em 26-06-02 6:01 GMT (#20)
    (Utilizador Info) http://ruka12.tripod.com
    Não sei se fará sentido para um desktop user, especialmente se ele fará instalar. Um desktop user quer uma máquina a funcionar, não o ultimo grito. Por mim, baixo-lhe *quase* todos os servidores, coloco regras de firewalling, e só deixo fazer automático do browser de Internet e do cliente IRC. ;->
    --

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]