gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
bug no openssh
Contribuído por scorpio em 16-09-03 15:36
do departamento bug-squashing
Bug De acordo com o irmão mais velho e o arquivo web da mailing-list full-disclosure, foi encontrado (mais) um problema no código do openssh, e o exploit já andará a fazer estragos. Pelos relatos, nem o priviledge separation nos vale... Vão fazer upgrade.
Update: Alguns relatos na mailing-list dizem que o exploit funciona (mesmo com priviledge separation), mas o Markus diz que é apenas um "buffer management error", e que não se confirma que é explorável. Vejam também a advisory do openssh.

wildcards nos .COM e .NET, by Verisign | Sun Wars: Episode II - Attack of the Desktop  >

 

gildot Login
Login:

Password:

Referências
  • gildot
  • irmão mais velho
  • full-disclosure
  • fazer upgrade
  • diz que é apenas um "buffer management error"
  • advisory do openssh
  • Mais acerca Bug
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    exploravel and openbsd (Pontos:2, Informativo)
    por apm em 16-09-03 17:53 GMT (#1)
    (Utilizador Info) http://%31%32%37%2E%30%2E%30%2E%31
    Penso que já existem fortes razões para dizer que o bug é exploravel.
    Partindo do principio que alguêm não esta a fazer uma mega manobra de social enginer, com dezenas de relatos de maquinas compremetidas aparentemente pelo ssh, acho que o tal exploit é mais que certo.
    Eu não uso openbsd, corrigam-me se tiver errado, o openssh não é um dos serviços enable por default ?
    "Only one remote hole in the default install, in more than 7 years!"
    Parece que vão ter que mudar outra vez o banner :)
    Re:exploravel and openbsd (Pontos:2, Esclarecedor)
    por MeeTra em 16-09-03 20:06 GMT (#5)
    (Utilizador Info)
    Eu não uso openbsd, corrigam-me se tiver errado, o openssh não é um dos serviços enable por default ?
    "Only one remote hole in the default install, in more than 7 years!"
    Parece que vão ter que mudar outra vez o banner :)


    é de mim ou existe muita gente que gosta desse banner?
    eu até axo muito bem o theo manter esse banner, assim continua a irritar as pessoas que não gostam dele, vende mais cd's por causa do marketing e os que querem descobrir os bugs para deixarem mal o rapaz ... só tornam o software dele mais seguro. :)
    e o ego mantem-se em cima... eheh
    Re:exploravel and openbsd (Pontos:1)
    por flock em 17-09-03 9:41 GMT (#52)
    (Utilizador Info) http://www.promiscua.org/
    É engraçado que nem com críticas o software melhora pois continuam a sugrir problemas no openssh (recordo-me daquele mes fatídico em que surgiram só 4 vulnerabilidades graves). A crítica a esse banner deve-se ao facto de alguem usar publicidade enganosa para dizer que o seu produto é bom, o que é pura lhamisse.

    Outra coisa que acho deveras engraçada é que o perfil do utilizador / administrador de OpenBSD é o de um unskilled geek que foi ownado em Linux e mudou por causa do banner que promete o que não pode cumprir. Parece-me ser este o teu caso (ou estarei enganado)?

    Se para ti o banner é tudo, muito bem, continua a usar OpenBSD sem remote holes na default install (pode ser que um dia destes te calhe a sorte grande).


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:exploravel and openbsd (Pontos:2)
    por Dehumanizer em 17-09-03 9:58 GMT (#54)
    (Utilizador Info) http://www.dehumanizer.com
    Claro que dizes tudo isso sem juntares qualquer facto que demonstre a sua veracidade...

    Mas, ei, trolls nunca se preocuparam com factos, não é?


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"
    Re:exploravel and openbsd (Pontos:1)
    por flock em 17-09-03 10:29 GMT (#62)
    (Utilizador Info) http://www.promiscua.org/
    Ó meu amigo, vamos lá a uma lista de vulnerabilidades que encontrei assim de raspão:

    OpenSSH 3.0 - UseLogin (Local)
    OpenSSH 3.1 - Buffer overflow (Remoto)
    OpenSSH 3.2 - AFS/Kerberos (Remoto)

    Será que isto chega? Como é óbvio na altura não fiquei com as referencias das 4 vulnerabilidades para usar aqui no gildot (nunca pensei que tivesse passado despercebido a alguem).


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:exploravel and openbsd (Pontos:2)
    por Dehumanizer em 17-09-03 11:28 GMT (#69)
    (Utilizador Info) http://www.dehumanizer.com
    "in the default install". A do 3.2 não conta para isso, já que o kerberos não é activado no mesmo.

    A do 3.1 é, suponho, a que fez passar de "no holes" para "only 1 hole".


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"
    Re:exploravel and openbsd (Pontos:1)
    por flock em 17-09-03 11:39 GMT (#72)
    (Utilizador Info) http://www.promiscua.org/
    E as 2.x? também não vinham nas default installs?


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:exploravel and openbsd (Pontos:1)
    por apm em 17-09-03 11:22 GMT (#67)
    (Utilizador Info) http://%31%32%37%2E%30%2E%30%2E%31
    "Outra coisa que acho deveras engraçada é que o perfil do utilizador / administrador de OpenBSD é o de um unskilled geek que foi ownado em Linux e mudou por causa do banner que promete o que não pode cumprir."

    Realmente isso explicava muita coisa hehe :)
    Re:exploravel and openbsd (Pontos:1)
    por MeeTra em 18-09-03 1:03 GMT (#138)
    (Utilizador Info)
    gostei da tua resposta.

    1º lhamisse ou não... eles fazem. se eles fazem é pk podem e tu com a tua arrogancia não vai mudar isso. até acho que eles mudaram as cores do texto desse banner. :D

    2º Se tens essa impressão de admins de OpenBSD tudo bem mas talvez não devias usar isso como rotulo para toda a gente. Qualquer sistema operativo pode ser utilizado para servidores desde que seja bem configurado e esteja sempre vigiado aka bom admin.
    Se gostas de linux, usa e abusa dele mas não venhas dizer que os outros sistemas operativos são piores. É tudo uma questão de gostos.

    3º tás enganado, por acaso até só uso Gentoo Linux.

    4º tu usas openssh, não usas? não é seguro? então porque usas? :)

    5º que eu saiba não existe software sem bugs e sempre ouvi dizer que um software sem bugs tá desactualizado, eheheh.
    Re:exploravel and openbsd (Pontos:2)
    por Dehumanizer em 16-09-03 21:58 GMT (#14)
    (Utilizador Info) http://www.dehumanizer.com
    Se for exploitable, eles mudam o banner. Já o fizeram uma vez.

    Ah, acabei de patchar o meu OpenBSD. :)


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"
    Re:exploravel and openbsd (Pontos:1)
    por Kmos@TNO em 17-09-03 8:52 GMT (#46)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Não me parece que irão mudar o banner... Senão já iria num número muito mais superior.. =)

    " I'm a lost soul in this lost world... "
    Re:exploravel and openbsd (Pontos:2)
    por Dehumanizer em 17-09-03 9:39 GMT (#51)
    (Utilizador Info) http://www.dehumanizer.com
    Tens provas disso? Ou apenas apeteceu-te dizê-lo?


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"
    Re:exploravel and openbsd (Pontos:1)
    por flock em 17-09-03 10:48 GMT (#63)
    (Utilizador Info) http://www.promiscua.org/
    Tu e as provas... Mudaram o banner no remote hole do OpenSSH 3.0? Não me parece (porque foi há bem menos de 7 anos e o banner continua a dizer qu não há um remote hole na default install há 7 anos).

    Já que gostas tanto de provas (e me estas a irritar pronfundamente com esse teu nariz impinado e falta de confiança naquilo que te dizem), lê isto e deixa de ser "troll". Lá porque tu és mentiroso e te identificas com as políticas de publicidade enganosa do OpenBSD, não quer dizer que todo o mundo o seja!


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:exploravel and openbsd (Pontos:1)
    por NeVErMinD em 17-09-03 10:58 GMT (#64)
    (Utilizador Info)
    Não me parece (porque foi há bem menos de 7 anos e o banner continua a dizer qu não há um remote hole na default install há 7 anos).

    Já há algum tempo que o banner diz
    "Only one remote hole in the default install, in more than 7 years!"
    Re:exploravel and openbsd (Pontos:1)
    por flock em 17-09-03 11:10 GMT (#66)
    (Utilizador Info) http://www.promiscua.org/
    Então e o que é isto? ;-)


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:exploravel and openbsd (Pontos:1)
    por NeVErMinD em 17-09-03 12:15 GMT (#77)
    (Utilizador Info)
    Isso é um bug do Openssh quando configurado com suporte para o protocolo SSH1. Não vejo qualquer referencia que o OpenBSD tivesse vuneravel ao bug. Procurei nos fix´s do OpenBSD e tambem nao vejo essa referencia. Tens ai algum link que diga explicitamente qual a versao do OpenBSD que estava vuneravel?
    Re:exploravel and openbsd (Pontos:1)
    por flock em 17-09-03 14:18 GMT (#89)
    (Utilizador Info) http://www.promiscua.org/
    Tendo em conta que se pode ler la "upgrade to 2.3p1", é de supor que todas as versões anteriores estejam vulneráveis.

    Default install não é o mesmo que default configuration, porque se formos falar em default configuration então não tens memso nenhum remote hole já que a rede não vem configurada. ;-)

    Default install intende-se pelos packages que são instalados, não pela sua configuração. Se um dos packages (que ainda por cima é feito pelas mesmas pessoas) tem um security hole com uma configuração que há partida não tem nada de comprometedor e mesmo assim as pessoas se recusam a admiti-lo, estmaos perante um caso de publicidade enganosa.

    Eu também posso vender um Peugeot 205 e dizer que ele da 300, é publicidade enganosa, não me digam que não é! E no entanto ele dá memso 300 ou mais (dependendo da inclinação da descida).


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:exploravel and openbsd (Pontos:1)
    por NeVErMinD em 17-09-03 14:50 GMT (#98)
    (Utilizador Info)
    Tanto latim para dizeres que nao encontraste nenhum link a dizer que o OpenBSDX.X era remotamente vuneravel a esse bug quando instalado por defeito.
    O Openssh ter bugs nao quer dizer que o OpenBSD esteje vuneravel porque nao os consegues explorar.
    Re:exploravel and openbsd (Pontos:1)
    por flock em 17-09-03 15:15 GMT (#100)
    (Utilizador Info) http://www.promiscua.org/
    Tanto latim porque esotu no trabalho e não posso passar o dia à procura dessas coisas. Que raio de mania da desconfiança!

    Tens aqui um link que podes ler sobre as versões vulneráveis do OpenSSH.

    Tens aqui um outro link sobre uma VULNERABILIDADE REMOTA no OpenBSD.

    Tens aqui outro link com outra VULNERABILIDADE REMOTA no OpenBSD referente ao suporte para SSH1 de que falei em cima.

    E agora não me digas que não te mostrei duas vulnerabilidades remotas no default install! ;)

    Estou ancioso pela nova desculpa do defensor do OwnedBSD.


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:exploravel and openbsd (Pontos:1)
    por NeVErMinD em 17-09-03 19:38 GMT (#127)
    (Utilizador Info)
    Estou ancioso pela nova desculpa do defensor do OwnedBSD

    Ficas a saber que nem uso nem usei OpenBSD, apenas experimento. Portando isso do ownedBSD nao se aplica aos meus sistemas de certeza.

    Continuas a insistir com o bug no SSH1? Podes-me transcrever nesses Links onde é que diz que o OpenBSD instalado por defeito esta vuneravel ao bug? Eu não encontro :|

    Dito isto so interessa mesmo o bug referente ao Bind e passo a transcrever
    Merge named with ISC BIND 4.9.8-REL, which fixes some buffer vulnerabilities (actually it appears that these were already impossible to exploit beforehand).

    Suponho que tu deves ter conseguido explorar, tens ai o code?
    RE: bug no openssh (Pontos:1, Lança-chamas)
    por AlphaAXP em 16-09-03 18:19 GMT (#2)
    (Utilizador Info)
    O que acho mais vergonhoso no meio disto tudo é que, indo às homepages da RedHat, SuSe e ibm.com/linux, nada ... nem uma palavra sobre o assunto.

    Alguém tem RedHat Network support que possa contribuir com o que está a ser feito?

    Isto é triste e só prova que estes "amigos do alheio" ainda têm muito que aprender...

    Re: bug no openssh (Pontos:2)
    por m3thos em 16-09-03 19:35 GMT (#3)
    (Utilizador Info) http://mega.ist.utl.pt/~mmsf
    Isto é um 0 day exploit, acabado de ser corrigido, estes sites não devem noticiar a cena até amanhã....

    as grandes máquinas tem reflexos tipicamente mais lentas...

    é claro que a este momento, tou-me completamente a marimbar nas versões packaged do openssh, e estou a compilar isto nas máquinas 'a pata.
    Aconcelho todo o mundo a fazer o mesmo.

    Miguel F. M. de Sousa Filipe
    handle: m3thos
    More Human than Human.
    Re: bug no openssh (Pontos:0, Lança-chamas)
    por AlphaAXP em 16-09-03 21:50 GMT (#13)
    (Utilizador Info)
    Até podes(emos) estar a barimbar mas temos de entender que nem toda a gente tem a mesma prespectiva hobbista da questão... (e cada vez seremos menos, em percentagem, com a sua 'industrialização').

    Estou mesmo a ver um gestor IT mediano de um qualquer banco, indústria ou organismo de estado, a receber um mail de um amigo com um alerta urgente, que refere um tal de buffer overrun (um gajo lixado!) para patchar ASAP todos os servidores/workstations espalhados pelo país (cada um com as suas 'caracteristicas'). Para não bastar, a descrição do advisor envolve patch da source e recompilação ("isso é o que os gajos lá do departamento do develop fazem todo o dia, né?").

    Quanto à celeridade, constacto, com a frieza dos factos, que mal soube da cena dos RPCs fui ao windoze ópdaite, e ja' la tava o malfadado fix que instalou sem complicações e de forma democrática aos l8mr ou geeks). Como disse...: ainda têm muito que aprender os pseudo-proficionais do suporte sénior Linux...

    /* AXP */

    Re: bug no openssh (Pontos:2)
    por Arrepiadd em 16-09-03 22:28 GMT (#17)
    (Utilizador Info)

    Quanto à celeridade, constacto, com a frieza dos factos, que mal soube da cena dos RPCs fui ao windoze ópdaite, e ja' la tava o malfadado fix que instalou sem complicações e de forma democrática aos l8mr ou geeks). Como disse...: ainda têm muito que aprender os pseudo-proficionais do suporte sénior Linux...

    O equivalente da RedHat ao windows update, quando cheguei a casa também já tinha o update para o openssh. Segundo o ftp da redhat o update está lá desde as 16:02 de hoje. Foi muito tarde? Não me parece...


    Re: bug no openssh (Pontos:1)
    por AlphaAXP em 16-09-03 22:40 GMT (#18)
    (Utilizador Info)
    Ok, assim sendo, pelo menos a RedHat portou-se de forma bastante razoavel. Acho que um pouco + de pro-actividade nos alertas não teria feito mal a ninguém... ao fim ao cabo estou registado RedHat Alpha tanto na RedHat como na HP e ainda estou à espera de mail a avisar do problema (e de fix p/ Alpha nos moldes a que me referi anteriormente - alcançável ao mediano). Mas concordo, com o que disseste, que foi já muito positivo.

    /* AXP */


    Re: bug no openssh (Pontos:2)
    por fjca em 16-09-03 22:52 GMT (#20)
    (Utilizador Info)
    Detesto ser eu a dizer-te (o que tu provavelmente ja' sabes, mas enfim) mas fixes para AlphaAXP ao mesmo tempo do resto e' pedir muito... eles de momento devem ter para la' um ou dois tipos no suporte a AlphaAXP, e em parte time...

    E' pena, mas foi chao que deu uvas...

    [off-topic] Re: bug no openssh (Pontos:1)
    por Devil_PT em 16-09-03 22:59 GMT (#22)
    (Utilizador Info)
    Olhe que não, olhe que não!
    Re: bug no openssh (Pontos:1)
    por AlphaAXP em 16-09-03 23:34 GMT (#27)
    (Utilizador Info)
    ... e avisozinho? não tenho direito? Isso era o fundamental! ...parece-me que já estamos aqui a escovar as franjas da toalha...

    Quanto ao CPU, enfim, não estou de acordo (principalmente desde a saida do último EV7) mas não é tema para esta thread.

    ... porém, com comentários quasi-elitista ao intel, não nos admiremos de qq dia chamarem ao Linix, Lintel!

    /* AXP */


    Re: bug no openssh (Pontos:1)
    por Init em 17-09-03 1:23 GMT (#38)
    (Utilizador Info)

    A Red Hat costuma enviar mails avisár, pelo menos para quem assina os serviços deles como a Red Hat Network, às 18:26 já tinha recebido o aviso por mail, para além disso o up2date avisa automáticamente quando sai um update.

    Também a Debian já lançou um update, não sei bem a que horas porque tive problemas com a netcabo e tive várias horas sem o serviço de acesso à Internet.


    Re: bug no openssh (Pontos:2, Esclarecedor)
    por Init em 17-09-03 1:25 GMT (#39)
    (Utilizador Info)

    A Debian já tinha o patch no servidor às 13:40.


    Re: bug no openssh (Pontos:1)
    por EFRS em 17-09-03 9:32 GMT (#49)
    (Utilizador Info) http://emanuel.xsecurity.ws
    Parece que andam às guerrinhas de quem lançou o patch primeiro. Olha que problema, a Microsoft tinha o patch um mês antes de sair o exploit :p

    "Acta simulato substantiam veritatis mutare non possunt"
    Re: bug no openssh (Pontos:1)
    por NeVErMinD em 17-09-03 10:27 GMT (#61)
    (Utilizador Info)
    Essa afirmaçao é para elogiar os administradores de redes *nixs nao é?
    Não ha pressas em escrever um exploit para o windows porque pelo menos ate sair o proximo Service Pack a maioria das maquinas vão continuar a estar vuneraveis.
    Re: bug no openssh (Pontos:2, Esclarecedor)
    por EFRS em 17-09-03 12:02 GMT (#75)
    (Utilizador Info) http://emanuel.xsecurity.ws
    Nisso concordo contigo, mas a culpa não é da Microsoft/Windows mas de quem administra esses sistemas.

    "Acta simulato substantiam veritatis mutare non possunt"
    Re: bug no openssh (Pontos:1)
    por NeVErMinD em 17-09-03 13:24 GMT (#83)
    (Utilizador Info)
    A culpa não é so da M$ mas também o é. Afinal foi a M$ que instalou esta politica de preguiça crónica aos administradores dos seus produtos.
    Nao percebo como é que administradores com N Certificados da M$ continuam a ser tao desleixados na segurança, nao é esta que define os conteudos dos mesmos? Alguma culpa há-de ter.
    Re: bug no openssh (Pontos:1)
    por EFRS em 17-09-03 13:44 GMT (#84)
    (Utilizador Info) http://emanuel.xsecurity.ws
    Isso é subjectivo, cada um sabe aquilo que faz e cada um é responsável pelos seus sistemas. Só porque a Microsoft "instalou esta politica de preguiça crónica" não quer dizer que todos tenham de a seguir. A ideia é de captar o melhor de cada coisa. Se a Microsoft é assim, que se lixe, problema dela!!


    "Acta simulato substantiam veritatis mutare non possunt"
    Re: bug no openssh (Pontos:1)
    por Lowgitek em 18-09-03 12:51 GMT (#140)
    (Utilizador Info) http://www.youthinkwedo.com
    Não estas a referir ao patch que precisava d eum patch pois não ?

    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re: bug no openssh (Pontos:1)
    por MeeTra em 16-09-03 19:55 GMT (#4)
    (Utilizador Info)
    no Gentoo jah existe a versão 3.7p1 (com o patch) em x86 aka stable :P
    Re: bug no openssh (Pontos:2)
    por nbk em 16-09-03 20:20 GMT (#6)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    Já sairam advisors do RHN. E não é nada vergonhoso, a noticia do exploit/bug tem menos de 24 horas... apesar de ser conhecido à uns tempos.

    @890, Nbk

    Telhados de vidro (Pontos:2, Interessante)
    por Devil_PT em 16-09-03 20:36 GMT (#7)
    (Utilizador Info)
    Concordo com o AlphaAXP. Ainda recentemente vimos a Microsoft a alertar por todos os meios possíveis para que o patch (e o patch do patch) do RPC fosse instalado, antes do worm entrar no activo e com essa atitude foi alvo de fortes críticas.
    Agora que acontece algo em tudo semelhante no mundo *nix que foi defendido com unhas e dentes como uma alternativa segura e que coisas destes não poderiam acontecer, já se torna uma situação "o exploit ter menos de 24 horas..."

    For heaven's sake!!! É caso para dizer: Atiraram pedras com telhados de vidro!

    Re:Telhados de vidro (Pontos:2)
    por CrLf em 16-09-03 20:45 GMT (#8)
    (Utilizador Info) http://crodrigues.webhop.net
    Eu por acaso recebi um mail da RHN a alertar para o problema.

    -- Carlos Rodrigues
    Re:Telhados de vidro (Pontos:2, Esclarecedor)
    por nbk em 16-09-03 20:58 GMT (#9)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    No caso dos *nix, em 24 horas depois de sair o bug temos patch, novas releases, advisors de tudo quanto é sitio.

    No caso da microsoft, eles demoraram a lançar o patch ( dependendo de quem se apercebe do bug, normalmente a empresa que produz o software é avisada com antecedência antes de ser lançado publicamente o bug... ), demoraram a avisar os seus clientes de que existia um bug, e só se mexeram quando mais freneticamente quando vinha aí um bicho worm.

    Não se trata de lançar pedras com telhados de vidro. Todos os SO's os têm. só que alguns são grandes e transparentes, outros são pequenos e resistentes.

    @916, Nbk

    Re:Telhados de vidro (Pontos:4, Interessante)
    por scorpio em 16-09-03 22:05 GMT (#15)
    (Utilizador Info) http://eurotux.com/
    Da minha própria experiência: ainda a coisa estava a ser discutida na full-disclosure, e já se via o patch (e o .tar.gz .src.rpm da nova versão) no ftp do openbsd. Não estou a ver onde é que estão as 24 horas...
    Re:Telhados de vidro (Pontos:2, Interessante)
    por Devil_PT em 17-09-03 0:04 GMT (#29)
    (Utilizador Info)
    Sim, é um excelente trabalho reactivo.

    Mas agora imagina o seguinte cenário: O Linux (quem diz Linux diz FreeBSD ou outra coisa qq que use ssh) tem a quota de utilização que o Windows tem hoje em dia. A maior parte dos sistemas tem o sshd aberto para o mundo porque é considerado por todos como um acesso seguro ao seu servidor/desktop.

    Há uma alma mais mal intencionada que pega no exploit do SSH e cria um worm chama UX.Blaster. O que é que ia acontecer amanhã aos milhões de Linuxes espalhados por esse mundos fora?

    Tu que és um administrador de sistemas consciencioso segues as dl's e aplicaste o fix mas e todos esses utilizadores menos atentos por esse mundo fora? Garanto-te que o MS.Blaster ao pé disso teria sido uma brincadeira de crianças!

    Estás a perceber a minha preocupação? É que continuamos a ter muito trabalho reactivo e para além do mais andamos a criar uma certa falsa sensação de segurança nas pessoas quando se diz que o Linux é muito mais seguro que o Windows. A verdade é que padece das mesmas maleitas e não está imune a estes problemas como muitos querem fazer crer. A resposta continua a passar pelo tempo de reacção e de se conseguir corrigir os problemas antes que eles aconteçam ou que venham a público e, obviamente, boas práticas de administração.

    Re:Telhados de vidro (Pontos:1)
    por nbk em 17-09-03 0:41 GMT (#31)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    "Há uma alma mais mal intencionada que pega no exploit do SSH e cria um worm chama UX.Blaster."

    Não é assim tão simples como parece. Não tens outlook no linux, eheh.

    Agora mais a sério, criar um worm para linux/unix dá muito mais trabalho do que criar um para windows, onde já existem toolkits dedicados ao assunto...

    @072, Nbk

    Re:Telhados de vidro (Pontos:1)
    por Lowgitek em 18-09-03 12:54 GMT (#141)
    (Utilizador Info) http://www.youthinkwedo.com
    E sem querer expecular muito, se o coder for o mesmo podemos estar descançado a imagem do tempo de criação par ao blaster.

    De qualquer maneira preocupa-me a mesma situação, porque pelo menos no windows tenho o norton, tanto pro mau como para bem, ma sno linux ainda não achei nada de jeito que me chamasse a atenção.


    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:Telhados de vidro (Pontos:2)
    por Branc0 em 17-09-03 0:48 GMT (#35)
    (Utilizador Info) http://www.syners.org
    Tu que és um administrador de sistemas consciencioso segues as dl's e aplicaste o fix mas e todos esses utilizadores menos atentos por esse mundo fora?

    Essas pessoas não estão a correr o sshd porque não sabem o que isso é... quem instala um BSD (que instala OpenSSH por defeito) sabe muito bem como desligar o SSH, quem usa Linux só pedindo o package é que estão a correr SSH.

    E essa de ser um sistema seguro cheira-me a excesso de confiança, eu por exemplo uso SSH mas não directamente na Internet, há outros sistemas de segurança que têm que ser ultrapassados até chegar a um serviço que não é para uso de clientes normais (presumindo que não somos um shell provider).


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Telhados de vidro (Pontos:3, Esclarecedor)
    por TarHai em 17-09-03 10:17 GMT (#60)
    (Utilizador Info) http://www.dilbert.com
    Quando (se) o linux atingir a quota da microsoft, as distribuicoes ja serao de 3a geracao (assumindo que as correntes admin-friendly sao dde 2a).

    Muito provavavelmente, existira um linux-home com uma serie de servicos desligados, com um firewall activado e com uma configuracao plug-and-play para aplicar patches e para configurar servidores basicos. Algo como a evolucao do macosx. A mandrake e a knoppix, p.ex., caminham nesse sentido a velocidade possivel.

    Neste momento Linux e mais seguro simplesmente porque quem o usa nao e propriamente leigo em TI ou tem um proficional por tras.
    ## I live the way I type; fast, with a lot of mistakes.
    Re:Telhados de vidro (Pontos:1)
    por [ Ent ] em 17-09-03 11:54 GMT (#74)
    (Utilizador Info)
    "Neste momento Linux e mais seguro simplesmente porque quem o usa nao e propriamente leigo em TI ou tem um proficional por tras."
    Das melhores frases que li no gildot desde sempre !! (+5 pontos _MUITO_INTERESSANTE_)
    Re:Telhados de vidro (Pontos:2)
    por higuita em 17-09-03 20:24 GMT (#130)
    (Utilizador Info)
    A maior parte dos sistemas tem o sshd aberto para o mundo porque é considerado por todos como um acesso seguro ao seu servidor/desktop.


    La' porque se chama secured shell, nao quer dizer que seja seguro, apenas a comunicacao entre os computadores e' segura 8)

    neste caso, a falha de seguranca e' do ssh e do utilizador, que nao sabe o que tem e nem sequer limita as ligacoes aos IPs de onde se liga por ssh (por oposicao de ter o ssh aberto para o mundo todo... sera' que ele conta em ligar-se por ssh da china?!)

    Garanto-te que o MS.Blaster ao pé disso teria sido uma brincadeira de crianças!

    nao achas que estas a exagerar um pouco?! 8)
    ora bem, se o windows e' o OS mais usado e o linux nao tem sequer 10% do total, como e' que um virus de linux pode ser pior que um virus, mesmo fraco, de windows?

    a grande maioria dos utilizadores ou tem alguem que lhes cuida do linux ou cuidam eles proprios...
    dos que cuidam dos outros linux, geralmente sao bons tecnicos
    dos que tratam dos proprios linux, a maioria sabe que tem de actualizar as coisas, existe uma cultura muito maior para ter os patchs em dia do que no windows
    quem nao actualiza o sistema, bem entao nao sabe realmente mexer no linux e vai acabar por aprender da forma errada, por tentativa e erro ate' aprender ou desistir

    claro quere se nao existir buraco, melhor, mas caso exista, os actualizadores ajudam bastantes...
    acho era que devia haver na instalacao uma pergunta:
    deseja manter-se sempre actualizado nas correcoes de problemas de seguranca? (s/n)

    assim melhoraria mais a seguranca, apesar do admin continuar a ser o elo mais fraco

    quem quisesse mais controlo, dizia nao e podia aplicar o patchs que quisesse quando quisesse e assumia a responsabilidade

    os outros patchs/actualizacoes, isso seria o utilizador a decidir se fazia ou nao


    Higuita
    Re:Telhados de vidro (Pontos:2)
    por scorpio em 18-09-03 0:30 GMT (#136)
    (Utilizador Info) http://eurotux.com/
    Stupid me - para quê fazer o upgrade rapidamente? Eu devia ter esperado pelo patch do patch :p
    Re:Telhados de vidro (Pontos:1)
    por flock em 17-09-03 9:56 GMT (#53)
    (Utilizador Info) http://www.promiscua.org/
    O problema do RPC era (e é) gravíssimo uma vez que QUALQUER HOST a correr NT based systems é vulnerável. Eu não vi a Microsoft esforçar-se tanto quando se descobriu que o IIS tinha a vulnerabilidade do unicode... Se esta vulnerabilidade do OpenSSH pode ser comparada com alguma coisa, então devia ser comparada com isto (já que ele é um serviçõ não obrigatório (ao contrario do RPC)).


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re: bug no openssh (Pontos:3, Esclarecedor)
    por Branc0 em 16-09-03 21:09 GMT (#10)
    (Utilizador Info) http://www.syners.org
    A Microsoft não me deu nenhum patch quando encontrei um bug no Citrix... tive que contactar a Citrix para isso...

    Quem tem que te dar um patch é quem faz o OpenSSH se tiveres um RPM da RedHat para te facilitar a tarefa deves agradecer em vez de criticar por não o teres.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re: bug no openssh (Pontos:1)
    por Devil_PT em 16-09-03 23:14 GMT (#23)
    (Utilizador Info)
    Raio de argumento!?!?!? Tanto quanto sei a Microsoft não distribui Citrix.
    A RedHat tanto quanto sei distribui OpenSSH.

    Vais dizer o quê? Por cada bug que há em cada package terás que chatear quem desenvolveu o software???? Onde é que está a confiança que posso depositar no Linux??? Se compro RedHat, ou Suse é justamente para ter um ponto central de contacto, para não ter que me andar a preocupar com estes problemas. Ou vais-me dizer que afinal Linux não está vocacionado para o mundo empresarial e é uma coisa só para geeks?

    Caramba, lê-se com cada coisa aqui...

    Re: bug no openssh (Pontos:2)
    por Branc0 em 17-09-03 0:40 GMT (#30)
    (Utilizador Info) http://www.syners.org

    Por acaso a microsoft até distribui tecnologia Citrix, nomeadamente no Advanced Server, mas não interessa.

    Vais dizer o quê? Por cada bug que há em cada package terás que chatear quem desenvolveu o software????

    Claro que vou, a não ser que tenhas um contrato especifico com a RedHat não estejas à espera que eles tenham recursos para estar em cima de 3000 pacotes de software.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re: bug no openssh (Pontos:1)
    por AlphaAXP em 17-09-03 1:02 GMT (#37)
    (Utilizador Info)
    O que é que o Advanced Server tem a ver com Citrix?

    Se te referes a RDP, tanto quanto sei, já vai a milhas de distência do que faz a Citris (aliás conheço quem tenha comprado Citrix para _adicionar_ ao RDP).

    Para além disso o RDP existe actualmente em todos os windozes ... desde XP a GT Turbo d'Ólivéti.

    /* AXP */

    Re: bug no openssh (Pontos:3, Informativo)
    por Branc0 em 17-09-03 2:00 GMT (#41)
    (Utilizador Info) http://www.syners.org
    Ok... foi um mau exemplo.

    A questão aqui é que todo o software que vem com o teu Windows é desenvolvido pela MS e/ou é licenciado pela MS... isso não acontece com a RH.

    No ficheiro LICENSE distribuido com o OpenSSH diz isto:

    BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

    Tens algum documento da RH em que eles se responsabilizam pelo que a equipa do OpenSSH não se responsabiliza?

    É que já começamos a discutir o sexo dos anjos por causa de uma coisa que até correu bastante bem na minha opinião (o tempo da distribuição de patches). Não podemos é estar à espera que as distribuições façam tudo e mais alguma coisa, especialmente as grátis.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Mito de que há garantias no software proprietário (Pontos:3, Esclarecedor)
    por jneves em 17-09-03 4:13 GMT (#44)
    (Utilizador Info) http://silvaneves.org/
    Sim, e o que é diferente no Windows? Ou não leste a licença que diz que eles fornecem o software "AS IS" e sem quaisquer garantias de funcionamento para qualquer fim? O mito de que há garantias no software proprietário continua. Neste caso o openssh é licenciado pela RH, se não eles não podiam distribuí-lo. Lá por ser uma licença de que tu também podes usufruir, não muda esse facto. Quanto à RH responsabilizar-se pelo que a equipa do openssh faz, basta comprares um contrato de manutenção (o que é muito melhor do que o consegues da Microsoft).
    Re:Mito de que há garantias no software proprietár (Pontos:2)
    por Branc0 em 17-09-03 9:08 GMT (#48)
    (Utilizador Info) http://www.syners.org
    A diferença no Windows é que o distribuidor e "desenvolvedor" (ugh) do software é o mesmo ao contrário do Linux, mais nenhuma nem tentei passar outro tipo de mensagem.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re: bug no openssh (Pontos:2)
    por MacLeod em 17-09-03 0:45 GMT (#33)
    (Utilizador Info)
    Por cada bug que há em cada package terás que chatear quem desenvolveu o software????

    Realmente, pah, esses gajos! Eles já tiveram a trabalheira de fazer o software e ainda os vêm chatear para CORRIGIR BUGS? Bah, a Red Hat e a SuSE que os corrijam! Afinal de contas eles servem para quê?

    Re: bug no openssh (Pontos:1)
    por AlphaAXP em 16-09-03 23:39 GMT (#28)
    (Utilizador Info)
    Vamos lá a ver: o Linux é um kernel! ... mais nada!

    O "OS" é a distro (RedHat,SuSe, etc...). Se o OpenSSL vem com o RedHat, é a eles que quero pedir contas, não ao Linus. Porém não espero que a RedHat me dê fixes para o Informix a correr em Linux!

    Paralelamente, não espero que a MS me dê fixes para a Citrix, mas dê fixes para o Notepad e tudo o que lá vem dentro do Windoze.

    /* AXP */

    Re: bug no openssh (Pontos:2)
    por Branc0 em 17-09-03 0:44 GMT (#32)
    (Utilizador Info) http://www.syners.org
    O Notepad é desenvolvido pela Microsoft, o OpenSSH não. A razão que esperar suporte da MS é porque o produto é de facto suportado pela MS ao contrário do OpenSSH pela RedHat.

    A RedHat, noemadamente na versão Free / Grátis não é nada mais que um conjunto de pacotes... devias esperar suporte da RedHat se por exemplo houvesse um bug na aplicação da RedHat Network e não por haver um bug no software do zé da esquina que a RH decidiu meter na sua distro.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re: bug no openssh (Pontos:1)
    por AlphaAXP em 17-09-03 0:57 GMT (#36)
    (Utilizador Info)
    Isso é que era bom! Esse é o modelo e a RedHat aceitou-o quando começou o negócio. O RedHat é um pacote em si... e por ele faz-se pagar se quisermos suporte.
    Re: bug no openssh (Pontos:2)
    por Branc0 em 17-09-03 1:49 GMT (#40)
    (Utilizador Info) http://www.syners.org
    Aceitou?

    Onde é que isso está escrito?


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Suse Re: bug no openssh (Pontos:1)
    por pmb em 16-09-03 21:40 GMT (#12)
    (Utilizador Info)
    A Suse tem o patch no Online Update e apresenta o aviso (!) no kpanel de que existe um security patch para ir buscar.
    --
    Re: bug no openssh (Pontos:2)
    por Lamego em 17-09-03 6:55 GMT (#45)
    (Utilizador Info) http://www.ptlink.net
    Quem se preocupa com a segurança de um sistema linux/unix certamente procura outras fontes de informação, não me parece que um site de uma distribuição seia um meio próprio para este tipo de divulgações. Existe sim associada a cada distribuição uma mailing list/updates onda já foram publicadas as correções ao referido problema.
    Não estamos a falar de uma falha num tipo de sistema/serviço usado por milhões de end users ou por administradores que esperam pelas notícias de segurança no site do seu "fornecedor".

    Re: bug no openssh - DVBN forum (Pontos:2, Informativo)
    por Mulder3 em 18-09-03 0:24 GMT (#135)
    (Utilizador Info)
    Bem, se o OpenSSH fosse closed source nada disto acontecia... : http://forums.dvbnetwork.com/vie wtopic.php?t=12031

    AlphaAXP writes:... does anyone still believes this crap about Open-Source = Less Bugs? ... geee ... Open eyes and smell the capuchino! Linux has far more security warnings reported by CERT that most comercial Unixes ... and even Windoze...

    PS-Desculpa lá ó Alpha, mas nao pude deixar passar esta em branco...
    Re: bug no openssh - DVBN forum (Pontos:1)
    por Lowgitek em 18-09-03 13:02 GMT (#142)
    (Utilizador Info) http://www.youthinkwedo.com
    Estava a reconhecer o nick dele em algum lado :))

    Btw. Mulder se o Alpha daqui for o mesmo alpha de la, o dude por acaso até tem contribuido bastante em plugins para a malta :), e como :))

    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re: bug no openssh - DVBN forum (Pontos:1)
    por Mulder3 em 18-09-03 16:48 GMT (#145)
    (Utilizador Info)
    Eu sei, ele anda mais nos DVB-PC, eu é mais nas AVRs/Funs(conheces o Quimera? fui eu o zlibpt a partir das sources do wapo,lol) Vamos lá ver é o se novo Nagra(o tal Aladin) não nos estraga as voltas...hehehe
    Re: bug no openssh - DVBN forum (Pontos:2)
    por Lowgitek em 19-09-03 7:15 GMT (#146)
    (Utilizador Info) http://www.youthinkwedo.com
    ora bem ora bem :)

    Anyway keep the good work folks! Já agora o sitio nao é o mais correcto mas .... e pa olhem para o vdr please... :)) Já só uso o windows por conta do progdvb.


    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    slackware ja' lancou o patch tambem (Pontos:3, Informativo)
    por higuita em 16-09-03 21:32 GMT (#11)
    (Utilizador Info)
    acabei de receber o email da slackware a avisar que ja' teem o patch lancado...

    agora so' falta conseguir entrar no site de FTP, ja' que esta' cheio e os mirrors ainda nao o teem 8)


    Higuita
    Re:slackware ja' lancou o patch tambem (Pontos:1)
    por Gamblit em 16-09-03 22:50 GMT (#19)
    (Utilizador Info)
    Ja consegui sacar o package. Para quem quiser esta disponivel em http://isabelle.math.i st.utl.pt/progs/openssh-3.7p1-i386-1.tgz
    Re:slackware ja' lancou o patch tambem (Pontos:1)
    por Devil_PT em 16-09-03 23:16 GMT (#24)
    (Utilizador Info)
    Epá... posso confiar na source? Este servidor já corre o ssh patchado, mas não foi comprometido entretanto? ;-)
    Re:slackware ja' lancou o patch tambem (Pontos:1)
    por Gamblit em 16-09-03 23:22 GMT (#25)
    (Utilizador Info)
    O patch foi aplicado 15 minutos dps do pessoal ser avisado nas ML's da securityfocus. Há sempre algum risco ;)
    Re:slackware ja' lancou o patch tambem (Pontos:1)
    por nbk em 17-09-03 0:48 GMT (#34)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    Risco.... hummm, esta noite vai ser longa. :->

    ( Nbk a pensar naqueles sysadmins que só se vão logar lá pelas 9 da manhã, ehehe ).

    @076, Nbk

    Re:slackware ja' lancou o patch tambem (Pontos:2, Engraçado)
    por smsp em 17-09-03 9:33 GMT (#50)
    (Utilizador Info)
    ah, como é bom e refrescante o cantinho das mensagens do pessoal do slackware, sem ataques pessoais nem histórias sobre maes alheias.

    *dá um beijo no seu cd do slack*

    smsp.

    Re:slackware ja' lancou o patch tambem (Pontos:1)
    por racme em 17-09-03 12:36 GMT (#79)
    (Utilizador Info) vendetta.guildsoftware.com/
    4 slackies patchupados e 1 bsd box, nada mau pra 1 naite em q me deitei as 4 am :\

    lordaeron > ssh -V
    OpenSSH_3.6.1p1 FreeBSD-20030916, SSH protocols 1.5/2.0, OpenSSL 0x0090701f
    lordaeron > uname -a
    FreeBSD lordaeron.ricardo.pt 5.1-RELEASE-p3 FreeBSD 5.1-RELEASE-p3 #1: Wed Sep 17 01:58:31 WEST 2003 racme@lordaeron.ricardo.pt:/usr/obj/usr/src/sys/XPTOKERNEL i386

    se o ritmo de vulns no ossh continua tenho de o tirar da base sys e passar a usar o portable. So um cvs da port se equipara realmente a um upgradepkg.

    Mas la diz o ditado quem corre por gosto...

    take care g. slackwores continuem unicos =:^)


    Make World; Not War;
    Re:slackware ja' lancou o patch tambem (Pontos:2)
    por hununu em 17-09-03 16:35 GMT (#116)
    (Utilizador Info)
    8 fbsds (4.x e 5.x mto diferentes) em menos de uma hora... Como é que conseguiste demorar tanto tempo? :-)
    http://www.absolutbsd.org/
    Re:slackware ja' lancou o patch tambem (Pontos:2)
    por racme em 17-09-03 18:37 GMT (#120)
    (Utilizador Info) vendetta.guildsoftware.com/
    8 fbsds (4.x e 5.x mto diferentes) em menos de uma hora... Como é que conseguiste demorar tanto tempo? :-)

    vejamos..

    as 23.50 tomei conhecimento dos factos
    as 23.56 fiz um post no gildot sobre os SAs
    as 00.00 tava a comentar uma rule pra uma porta nossa conhecida no ipfw
    as 00.05 meti a chavena com leite no microwave, e dei 3 clicks no optiquick (+-2 minutos, a temp necessaria para tornar morno um biberon medio)
    as 00.07 tava a adicionar o cafe e o acucar
    as 00.09 tava a trocar para a camisa sem mangas
    as 00.12 alguem comentou, "vai fazer directa"
    as 00.30 tava a fazer o cvsup
    as 01.58 tinha o mundo feito
    as 02.10 tinha o kernel feito
    as 02.15 tinha o kernel instalado
    regoboot
    as 02.20 tinha o mundo a meus pes :)

    entretanto deu para patchar 4 slacks e ver a expulsao do Fernando, deu pra fazer zapping para ver os idolos, deu para ver o resumo da liga dos campeoes, e para ver a Dance TV na sic radical, (. Y .) yummieeee... :D
    portanto nada mau pra 2 horinhas..
    O deitar as 4 horas, nao significa que estive ate essa hora a frente da console

    Mas respondendo a' tua pergunta,
    "Como é que conseguiste demorar tanto tempo?"

    Script started on Wed Sep 17 18:39:36 2003
    ...
    Connected to lordaeron.
    Escape character is '^]'.
    SSH-1.99-OpenSSH_3.6.1p1 FreeBSD-20030917
    ^C
    Connection closed by foreign host.
    lordaeron# exit
    exit
    Script done on Wed Sep 17 18:44:10 2003


    menos de 5 minutos, vezes 8 = 40 minutos. O que da bem menos de 1 hora pra 8 maquinas.
    repara no subtil engano... o mesmo tempo que leva a fazer um fetch dos diffs... =)

    saudacoes daemoniacas


    Make World; Not War;
    Re:slackware ja' lancou o patch tambem (Pontos:2)
    por racme em 17-09-03 18:55 GMT (#123)
    (Utilizador Info) vendetta.guildsoftware.com/
    sim viste bem, 20030917

    ainda nao fizeram o update ao sa
    mas ja bateu os servers




    Make World; Not War;
    Re:slackware ja' lancou o patch tambem (Pontos:2)
    por higuita em 17-09-03 13:00 GMT (#80)
    (Utilizador Info)
    +1 Esclarecedor 8)

    Higuita
    Re:slackware ja' lancou o patch tambem (Pontos:2)
    por racme em 16-09-03 23:25 GMT (#26)
    (Utilizador Info) vendetta.guildsoftware.com/
    pra isso servem os md5s,

    confirma na pagina


    Make World; Not War;
    Re:slackware ... openssh-3.7.1 (Pontos:2)
    por higuita em 17-09-03 20:31 GMT (#131)
    (Utilizador Info)
    pois, saiu agora o 3.7.1 que corrige mais uma problemas... e claro, o site de ftp do slackware ja' esta' entupido 8)

    quando o sacares avisa ;)

    ps: quando e' que alguem oferece um site de FTP mais rapido ao patrick? ou sera' que somos assim tantos?

    Higuita
    Mais info no site do CERT (Pontos:2, Informativo)
    por infosec em 16-09-03 22:22 GMT (#16)
    (Utilizador Info)
    O CERT/CC já lançou um advisory sobre o assunto em http://www.cert.org/advisories/CA-2003-24.html e está um fix para o Debian em http://www.debian.org/security/2003/dsa-382 ou http://www.debian.org/security/2003/dsa-383 caso tenha suporte Kerberos
    slack/fbsd (Pontos:3, Informativo)
    por racme em 16-09-03 22:56 GMT (#21)
    (Utilizador Info) vendetta.guildsoftware.com/
    Slackware OpenSSH Security Advisory

    FreeBSD-SA-03:12 Security Advisory




    Make World; Not War;
    Re:slack/fbsd (Pontos:3, Informativo)
    por racme em 17-09-03 3:02 GMT (#43)
    (Utilizador Info) vendetta.guildsoftware.com/
    parece que ja temos patch do patch :)

    OpenBSD team's Markus Friedl announces that OpenSSH 3.7.1 has been released. He says that all versions of OpenSSH's sshd prior to 3.7.1 contain a buffer management error. It is uncertain whether this error is potentially exploitable, however, they prefer to see bugs fixed proactively. OpenSSH 3.7 fixed one of these bugs. OpenSSH 3.7.1 fixes more similar bugs. What's new in this release ? Rhosts authentication has been removed in ssh(1) and sshd(8); changes in Kerberos support; SOCKS5 support has been added to the dynamic forwarding mode in ssh(1); implementation barriers to operation of SSH over SCTP have been removed; sftp(1) client can now transfer files with quote characters in their filenames and much more!


    Make World; Not War;
    La la la la :) (Pontos:0, Despropositado)
    por tonidosimpostos em 17-09-03 2:24 GMT (#42)
    (Utilizador Info)
    E pregavam alguns "fanaticos" num tópico anterior da grande segurança do Linux e amigos ;) É tão bonito ver as coisas logo passado umas horas a dar uma volta ;) Well time to patch, se bem que os tcp wrappers dao um jeito enorme ;)
    Re:La la la la :) (Pontos:2)
    por Gimp em 17-09-03 9:05 GMT (#47)
    (Utilizador Info)
    O que é que o OpenSSH tem a ver com a segurança do kernel? Vou dar-te um exemplo já que pelo nick o teu dia-a-dia é mais caixa registadora...
    Os NT's, 2000, XP levaram com um Blaster porque a merda estava numa implementação do sistema operativo e não num software exterior ao mesmo.

    Acho que o teu comentário e outros similares devem ser consequência das chatices causadas por problemas nos windows, porque pensar que o linux deixa de ser seguro porque encontraram um bug numa aplicação...


    "No comments"

    Re:La la la la :) (Pontos:1, Lança-chamas)
    por leitao em 17-09-03 10:12 GMT (#58)
    (Utilizador Info) http://scaletrix.com/nuno/blog/blogger.html
    Acho que o teu comentário e outros similares devem ser consequência das chatices causadas por problemas nos windows, porque pensar que o linux deixa de ser seguro porque encontraram um bug numa aplicação...

    Hummm... se alguem descobrir um buraco no Outlook, no RDP ou no Internet Explorer toda a gente grita imediatamente que e' um problem no "Windows", nao que e' um problema aplicacional.

    Neste caso aplica-se a mesma logica -- o Linux e' o Kernel, mas o sistema operativo e' o kernel e os packages que veem com uma distribuicao -- logo, o sistema operativo foi afectado (apesar de indirectamente).


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:La la la la :) (Pontos:3, Interessante)
    por racme em 17-09-03 11:08 GMT (#65)
    (Utilizador Info) vendetta.guildsoftware.com/
    Neste caso aplica-se a mesma logica -- o Linux e' o Kernel, mas o sistema operativo e' o kernel e os packages que veem com uma distribuicao -- logo, o sistema operativo foi afectado (apesar de indirectamente).

    o teu argumento peca logo de inicio, os Outlooks, os IEs sao produtos da Microsoft.
    o que e' que o Projecto Openssh tem a ver com o linux/kernel?




    Make World; Not War;
    Re:La la la la :) (Pontos:1)
    por Kmos@TNO em 17-09-03 11:27 GMT (#68)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Usem mas é o SSH ;-) e deixam de ter este tipo de notícias que já começam a ser constantes por parte da aplicação OpenSSH ;-)

    " I'm a lost soul in this lost world... "
    Re:La la la la :) (Pontos:2)
    por racme em 17-09-03 12:12 GMT (#76)
    (Utilizador Info) vendetta.guildsoftware.com/
    e quem disse que nao uso?

    precisso de pam-1@ssh.com pra ligar por vpn a' minha uni


    Make World; Not War;
    Re:La la la la :) (Pontos:2)
    por leitao em 17-09-03 12:29 GMT (#78)
    (Utilizador Info) http://scaletrix.com/nuno/blog/blogger.html
    O OpenSSH e' distribuido pela RedHat nas suas distribuicoes comerciais -- qual e' a diferenca ? Deixa de ser suportado logo de inicio ?


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:La la la la :) (Pontos:2)
    por racme em 17-09-03 14:04 GMT (#88)
    (Utilizador Info) vendetta.guildsoftware.com/
    O OpenSSH e' distribuido pela RedHat nas suas distribuicoes comerciais -- qual e' a diferenca ? Deixa de ser suportado logo de inicio ?

    primeiro a culpa era do Linux kernel agora e' da Linux distro. Nao pa, a culpa e' do OpenSSH e do OpenSSH Project.

    Ja tas naquela fase de deitar barro a parede para ver qual e' o que pega ?

    A redhat tal como todos os outros disponibiliza suporte para a versao portable do OpenSSH para os seus clientes e nao so

    mas eu gosto e' da ironia destes tipos, roftl :D
    OpenSSH 3.7.1 and newer are not vulnerable to "September 16, 2003: OpenSSH Buffer Management bug", OpenSSH Security Advisory.




    Make World; Not War;
    Re:La la la la :) (Pontos:1)
    por mrmv em 17-09-03 14:29 GMT (#94)
    (Utilizador Info)
    Explica lá a um cliente "real" essa complicação da responsabilidade... isso é daquelas conversas que para o cliente não interessa, ele quer lá saber se foram os amigos do projecto OpenSSH os responsáveis, ele obteve-o através daquela distribuição e a questão é de que forma as distribuições respondem a estas questões, eu digo-te não têm resposta, dependem de outros. Se quiseres estabelecer um SLA com alguém isto será uma coisa assombrosa de se montar com tanta respondabilidade distribuida, eu diria que o suporte no minimo é um desafio curioso de resolver...
    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:La la la la :) (Pontos:2)
    por racme em 17-09-03 16:25 GMT (#114)
    (Utilizador Info) vendetta.guildsoftware.com/
    Explica lá a um cliente "real" essa complicação da responsabilidade... isso é daquelas conversas que para o cliente não interessa, ele quer lá saber se foram os amigos do projecto OpenSSH os responsáveis, ele obteve-o através daquela distribuição e a questão é de que forma as distribuições respondem a estas questões, eu digo-te não têm resposta, dependem de outros.

    olha outro ...

    tu por acaso tiveste o cuidado de seguir os links que eu coloquei no post?

    toma la mais outro

    Auto Update
    This optional feature allows you to set RHN to update your system automatically. This means no more manual updates, and ensures that you always have the latest errata as soon as possible.


    um cliente "real" despreocupado, nem sequer tem de se preocupar com a preocupacao, porque quando ele se preocupar ja saiu um patch para a preocupacao que se auto despreocupou-se

    got it? =)


    Make World; Not War;
    Re:La la la la :) (Pontos:1)
    por mrmv em 17-09-03 17:36 GMT (#119)
    (Utilizador Info)
    "um cliente "real" despreocupado, nem sequer tem de se preocupar com a preocupacao, porque quando ele se preocupar ja saiu um patch para a preocupacao que se auto despreocupou-se"

    Pareces mesmo convencido desta promessa, que ingenuidade...
    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:La la la la :) (Pontos:2)
    por racme em 17-09-03 18:40 GMT (#121)
    (Utilizador Info) vendetta.guildsoftware.com/
    "um cliente "real" despreocupado, nem sequer tem de se preocupar com a preocupacao, porque quando ele se preocupar ja saiu um patch para a preocupacao que se auto despreocupou-se"

    Pareces mesmo convencido desta promessa, que ingenuidade...


    onde e' q queres chegar?


    Make World; Not War;
    Re:La la la la :) (Pontos:2)
    por leitao em 17-09-03 21:42 GMT (#132)
    (Utilizador Info) http://scaletrix.com/nuno/blog/blogger.html
    Ele quer chegar 'a conclusao obvia (mas nao para ti) que com ou sem auto-updates, quando uma distribuicao (nota, nao o sistema operativo) e' composta de milhares de sub-componentes tendo origem em milhares de fontes diferentes e sem um ponto centralizado de controle, o patch tanto pode chegar em 2 horas, como 2 dias, como 2 anos, como nunca.


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:La la la la :) (Pontos:3, Esclarecedor)
    por racme em 18-09-03 0:33 GMT (#137)
    (Utilizador Info) vendetta.guildsoftware.com/
    Ele quer chegar 'a conclusao obvia (mas nao para ti) que com ou sem auto-updates, quando uma distribuicao (nota, nao o sistema operativo) e' composta de milhares de sub-componentes tendo origem em milhares de fontes diferentes e sem um ponto centralizado de controle, o patch tanto pode chegar em 2 horas, como 2 dias, como 2 anos, como nunca.

    e? onde esta escrito que nao precisas de actualizar o Sistema Operativo e as aplicacoes que usas?

    E pregavam alguns "fanaticos" num tópico anterior da grande segurança do Linux e amigos ;) É tão bonito ver as coisas logo passado umas horas a dar uma volta ;)

    "mas esse e' o mesmo principio que se rege o windows!!!"

    ERrado,
    a diferenca esta nos resultados imediatos da adopcao de uma politica de seguranca proactiva em detrimento de uma seguranca reactiva pos traumatica consequencia de virus, torjans, backdoors, rootkits, worms etc

    Nao e' engracado que so a partir da versao XP o sistema operativo em que 90% e' para uso domestico, 1 posto 1 ligacao a internet esta munido de firewall interna.
    So esse facto diz tudo sobre esta questao, como tal nao vale a pena continuar com esta discussao.




    Make World; Not War;
    Re:La la la la :) (Pontos:2)
    por Gimp em 17-09-03 13:13 GMT (#81)
    (Utilizador Info)
    A ver se desta vai...

    Tens um servidor com linux+ossh e um com windows+ssh. Levas no linux por causa do ossh, e quero lá saber que seja uma distro da Red Hat, SuSE ou o raio que a parta. O SO tá comprometido. Se vou estar à espera da Red Hat ou outra só significa uma coisa, não estou a fazer o meu trabalho correctamente.
    Apanhas com o Blaster, foi por causa do Outlook, do IE? A MSofre tinha um patch dispnível mas é engraçado, não chega, há mais porcaria a consertar. Entretanto no ossh resolve-se o problema, com ou sem a intervenção das Red Hat's e companhia e descobrem-se mais alguns mas fica tudo feito na mesma semana. A MSofre só descobre o resto passado meses. Há comparação possível?

    Quanto ao dizer no geral que é um problema do "windows", sempre li que é um problema que afecta o "windows"...


    "No comments"

    Re:La la la la :) (Pontos:1)
    por mrmv em 17-09-03 15:53 GMT (#109)
    (Utilizador Info)
    Confesso que não percebo, mesmo depois de teres respirado fundo e teres dito que agora é que era...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:La la la la :) (Pontos:2)
    por Gimp em 17-09-03 16:35 GMT (#117)
    (Utilizador Info)
    Posts obscuros tão na berra e evitam-se os besugos :-). E não disse que "agora é que era", foi mais um "a ver se...".


    "No comments"

    Re:La la la la :) (Pontos:1)
    por tonidosimpostos em 17-09-03 13:49 GMT (#86)
    (Utilizador Info)
    Mas alguem teve a discutir a segurança do kernel ? LOL Decidam-se la sobre o que querem discutir, se é o kernel, se é o sistema operativo a funcionar, tipo webserver e por ai fora... O kernel do linux é um buraco tao grande como o do windows. O tempo irá demonstrar isso.
    Re:La la la la :) (Pontos:2)
    por CrLf em 17-09-03 14:28 GMT (#93)
    (Utilizador Info) http://crodrigues.webhop.net
    O tempo irá demonstrar isso.

    Conversa de quem não sabe do que fala. Já houve tempo suficiente (e Sobigs e Blasters que cheguem). Desiste, dedica-te à pesca.

    -- Carlos Rodrigues
    Re:La la la la :) (Pontos:1)
    por tonidosimpostos em 17-09-03 15:42 GMT (#106)
    (Utilizador Info)
    Ja agora, a FCT nao foi owned ha uns tempos, em que foram roubadas largas dezenas de passwords do ircd ? Que sistema tava a correr o ircd ? Windows ou *NIX ? A ptnet ja tem binarios para windows ?
    Mais uma perola tua! (Pontos:0, Despropositado)
    por tonidosimpostos em 17-09-03 15:48 GMT (#107)
    (Utilizador Info)
    Quoting :

    " O Linux é um sistema operativo gratuito semelhante ao unix (...)"

    Semelhante ? Onde foste buscar a tradução ? LOOOOOOOOOL

    Para quem nao gosta de windows, tens muita coisa de windows na tua pagina :) Curioso ! É porque te obrigam na faculdade é ? Tadinho....!!

    Re:Mais uma perola tua! (Pontos:2)
    por CrLf em 17-09-03 16:00 GMT (#111)
    (Utilizador Info) http://crodrigues.webhop.net
    Estas mesmo interessado em demonstrar a tua idade mental não?

    Xii, talvez eu não seja um fanático... 'your world crumbles'.

    -- Carlos Rodrigues
    Utilizando a definicao do nosso amigo CRLF (Pontos:1)
    por tonidosimpostos em 17-09-03 15:58 GMT (#110)
    (Utilizador Info)
    Quoting:

    "[ Nota: pessoalmente não concordo com esta designação uma vez que hoje em dia o Linux é muito mais do que apenas kernel + GNU. Não retirando o (imenso) mérito ao projecto GNU, a designação "Linux" afigura-se hoje mais como um nome genérico para um sistema operativo completo do que um nome para um componente desse sistema. ] "

    Preciso de dizer mais ?

    Re:Utilizando a definicao do nosso amigo CRLF (Pontos:2)
    por CrLf em 17-09-03 19:01 GMT (#124)
    (Utilizador Info) http://crodrigues.webhop.net
    Preciso de dizer mais ?

    Não, já disseste o suficiente para provar que és um palhaço.

    -- Carlos Rodrigues
    Re:La la la la :) (Pontos:2)
    por Dehumanizer em 17-09-03 10:03 GMT (#55)
    (Utilizador Info) http://www.dehumanizer.com
    -1 lança-chamas.


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"
    Re:La la la la :) (Pontos:1)
    por NeVErMinD em 17-09-03 10:09 GMT (#57)
    (Utilizador Info)
    UsePrivilegeSeparation yes

    This workaround does not prevent this vulnerability from being exploited, however due to the privilege separation mechanism, the intruder may be limited to a constrained chroot environment with restricted privileges

    Todos as aplicaçoes tem bugs, so que algumas foram implementados com várias camadas de segurança porque o SO o permite, depois existem aqueles que ainda hoje correm serviços como System porque não ha volta a dar.
    Re:La la la la :) (Pontos:0, Despropositado)
    por Kmos@TNO em 17-09-03 11:30 GMT (#70)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    "... depois existem aqueles que ainda hoje correm serviços como System porque não ha volta a dar."

    Só por acaso, falas-te da caixa mágica!? hahaha.. há para lá system() a dar com um PAU mesmo..
    Ainda ninguém começou a olhar bem para aquilo, porque deveria ser lindo a exploitadela, era pior que o OpenSSH, mas de longe..

    " I'm a lost soul in this lost world... "
    Re:La la la la :) (Pontos:1)
    por apm em 17-09-03 11:35 GMT (#71)
    (Utilizador Info) http://%31%32%37%2E%30%2E%30%2E%31
    Ja ta disponivel o patch para a caixa mágica. system("up2date openssh");
    Re:La la la la :) (Pontos:1)
    por NeVErMinD em 17-09-03 13:15 GMT (#82)
    (Utilizador Info)
    Caixa Magica? Nao..

    Referia-me a este tipo de services que correm como LocalSystem. que é muito diferente de chroot.
    Re:La la la la :) (Pontos:1)
    por Kmos@TNO em 17-09-03 15:22 GMT (#102)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Ha.. pensei que fosse do verdadeiro caixa mágica LLLLOOOOOLLLLL
    " I'm a lost soul in this lost world... "
    Re:La la la la :) (Pontos:1)
    por apm em 17-09-03 11:41 GMT (#73)
    (Utilizador Info) http://%31%32%37%2E%30%2E%30%2E%31
    E pregavam alguns "fanaticos" num tópico anterior da grande segurança do Linux e amigos ;)

    E continuam, pelo menos falo por mim, isso não me afectou nada, além de ter os meus ssh devidamente configurados (rsbac), não uso o openssh, uso o ssh comercial.
    Re:La la la la :) (Pontos:1)
    por tonidosimpostos em 17-09-03 13:48 GMT (#85)
    (Utilizador Info)
    Ah sim o ssh comercial nao tem buracos nem nada LOOOOOOOOOOOOOOOOOOL :) Queres que me dê ao trabalho de os enunciar a todos ? E nao deves ter lido a advisory e as discussoes, pq pelos vistos o buraco ta no codigo desde o inicio ou seja no codigo original do Tatu ou la como raio se chama o gajo :)
    Re:La la la la :) (Pontos:1)
    por Kmos@TNO em 17-09-03 15:20 GMT (#101)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Mas se comparares mesmo assim o SSH comercial ao OpenSSH, vê a lista de grandes bugs de um e de outor e terás uma resposta..

    " I'm a lost soul in this lost world... "
    Re:La la la la :) (Pontos:1)
    por apm em 17-09-03 15:29 GMT (#103)
    (Utilizador Info) http://%31%32%37%2E%30%2E%30%2E%31
    Ah sim o ssh comercial nao tem buracos nem nada LOOOOOOOOOOOOOOOOOOL :) Queres que me dê ao trabalho de os enunciar a todos ?

    1 - O ssh comercial tem muito menos "buracos" que o openssh
    2 - Enuncia la os ultimos buracos serios do ssh comercial nestes ultimos 2 anos

    E nao deves ter lido a advisory e as discussoes, pq pelos vistos o buraco ta no codigo desde o inicio ou seja no codigo original do Tatu ou la como raio se chama o gajo :)

    3 - Li as advisory e as discussões sim assim como analizei o code do ssh comercial, e assim como ja recebi confirmação da ssh que a versão que eu tenho (ultima) não se encontra vulneravel.
    4 - Se achas o contrario posso-te dar os ips das minhas maquinas e desafio-te a exploitares o ssh comercial delas, que tu dizes estar vulneravel.
    5 - Como ja disse, esse bug não me afectou em nada, e sabes porquê ? porque ao contrario de ti (mouse enginner), tenho a liberdade de escolher o software que uso no meu sistema opensource, e tenho a liberdade de o alterar ou configurar como quiser e bem intender :)

    "More stupid than use bad software, is to use bad software and pay for it"
    Re:La la la la :) (Pontos:1)
    por tonidosimpostos em 17-09-03 15:39 GMT (#105)
    (Utilizador Info)
    O ssh comercial desde que teve serios buracos que toda a gente mudou para o openssh pq o openssh na altura revelava-se mais robusto. Eu fiz exactamente a mesma transição que a maior parte das pessoas na altura. Basicamente o ssh comercial deixou de ser o mainstream e deixaram de pegar nele...
    Re:La la la la :) (Pontos:1)
    por tonidosimpostos em 17-09-03 16:01 GMT (#112)
    (Utilizador Info)
    Se for é trackball engineer :) Nao curto ratos, so ratas ;)
    Re:La la la la :) (Pontos:2)
    por CrLf em 17-09-03 14:26 GMT (#92)
    (Utilizador Info) http://crodrigues.webhop.net
    Tu deves ter a mania que és esperto. É pena que não passe mesmo da mania. Os teus últimos comentários estão cheios de supostos trunfos com os quais tu achas que provas alguma coisa (talvez apenas a tua ignorância). As falhas de segurança no software opensource são normalmente corrigidas de imediato, bastante antes até de a falha ser tornada pública. O mesmo já não se pode dizer do software que tanto adoras e que apenas tem bugs de DoS.

    -- Carlos Rodrigues
    Re:La la la la :) (Pontos:1)
    por Kmos@TNO em 17-09-03 23:14 GMT (#133)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    "As falhas de segurança no software opensource são normalmente corrigidas de imediato, bastante antes até de a falha ser tornada pública."

    Tens a certeza daquilo que dizes!? olha que não é assim.. normalmente saem os exploits e depois a comunidade pública e os próprios autores é que ficam a saber.. parece que não és deste mundo! Já vi muitos exploits (é preciso saber onde ir buscá-los, etc..) antes de o próprio autor ou ser anunciado na bugtraq..

    " I'm a lost soul in this lost world... "
    Re:La la la la :) (Pontos:2)
    por higuita em 17-09-03 20:09 GMT (#129)
    (Utilizador Info)
    nunca ninguem disse que o linux e os *BSD nao teem buracos, a diferenca e' que aqui os buracos sao todos publicos (sabes la' quantos buracos existem no windows que sejam silenciosamente removidos, se e' que realmente sao removidos...) e que os patchs aparecem muito rapidamente..

    os TCP wrappers e o iptables/ipchains sao um exemplo da flexibilidade dos unix, encontrando um problema podemos juntar varias coisas para resolver ou reduzir o problema

    outra questao e' que sabe-se que o ssh tem problemas? entao desliga-se o bicho ou fica aberto apenas para o IP necessario
    ou entao, muda-se para o ssh free-for-nom-comercial ou para o lsh (GNU ssh), pois existem altenativas (onde estao as alternativas para o netbios ou para o RPC/DCOM do windows)

    e volta-se a velha questao, os admin teem mais influencia sobre a seguranca do sistema do que as capacidades do proprio sistema, um openBSD nas maos de um incompetente e' sempre pior que um windows nas maos de um tecnico competente, apesar de o windows ser mais dificil e muito mais trabalhoso de manter seguro

    a seguranca e' como uma corrente, quebra sempre no elo mais fraco, independentemente se o elos a volta sao muito fortes e seguros

    a partir do momento em que o "elo humano" e' forte, os elos do software comecam a ganhar mais importancia

    Higuita
    Openssh da redhat (Pontos:1)
    por kaser em 17-09-03 10:04 GMT (#56)
    (Utilizador Info) http://kaser.nsk.yi.org
    Já foi disponibilizado pela redhat a nova versao do openssh.
    AQUI
    Re:Openssh da redhat (Pontos:1)
    por NeVErMinD em 17-09-03 10:17 GMT (#59)
    (Utilizador Info)
    A tua ligação está com uma latência deveras alta.
    E falta esta ;) (Pontos:0, Despropositado)
    por tonidosimpostos em 17-09-03 14:21 GMT (#90)
    (Utilizador Info)
    The apache chunked issue was not exploitable either... http://www.securityfocus.com/news/493 *gobble gobble* -KF
    Re:E falta esta ;) (Pontos:2)
    por Gimp em 17-09-03 14:45 GMT (#96)
    (Utilizador Info)
    Este rapaz tem o nick errado, o correcto seria Trolldosimpostos. Daqui a pouco manda cá para fora a lista completa do CERT e artigos do The Inquirer...


    "No comments"

    Re:E falta esta ;) (Pontos:1)
    por flock em 17-09-03 14:46 GMT (#97)
    (Utilizador Info) http://www.promiscua.org/
    LOL mas que falta de noção que esta gente tem. Ou é falta de noção ou então querem apenas rebater no mesmo argumento contra pessoas que não tenham tanta capacidade argumentativa por simples teimosia.

    Já alguma vez comparaste a complexidade e engenho que é posto nos exploits de codigo open source? Já alguma vez pensaste que se esse código fosse closed source holes como os da shared memory do apache seriam muito mais difices de descobrir que o hole básico do unicode em windows? Já reparaste que a configuração do apache é suficientemente flexivel para permitir corre-lo em chroot environments e sem privilégios ao passo que a do windows não?

    Os últimos security holes no Windows revelam o que qualquer pessoa com 2 dedos de testa já tinha reparado há muito. Tecnicamente as implementações da Microsoft estão a anos-luz atrás das implementações open-source.

    Faz-te um favor a ti próprio e não tragas o Windows à discussão, que neste campo não tens mesmo como argumentar. :-)


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:E falta esta ;) (Pontos:1)
    por tonidosimpostos em 17-09-03 15:52 GMT (#108)
    (Utilizador Info)
    Ja vi bastante complexidade nas exploits do Windows. Ou nunca reparaste nisso ?

    Deves ser um gajo genial... Ja descobriste muitos bugs basicos ? E ja descobriste muitos bugs no Windows ? Nao vejo as mailing lists da praxe com o teu nome lá ! Ou é assim tao basico que nem te dás ao trabalho ?

    Re:E falta esta ;) (Pontos:1)
    por flock em 17-09-03 16:31 GMT (#115)
    (Utilizador Info) http://www.promiscua.org/
    Só faço uma pergunta: será que tu percebes o code dos exploits? Algo me diz que não! ;-)

    Eu não ando nas mailing lists da praxe à procura de 0days ou advisories. Deixo essa insignificante tarefa para os script kiddies (que aparecem logo quando os picamos) e para os pseudo-admins que confiam apenas na segurança do software. Mas as falhas que tenho visto para Windows são bem mais graves e básicas que as que tenho visto para seja la o que for que corra em *nix.


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:E falta esta ;) (Pontos:1)
    por tonidosimpostos em 17-09-03 17:23 GMT (#118)
    (Utilizador Info)
    Sao ? Qual é o teu criterio de decisao para a afirmação ?
    Re:E falta esta ;) (Pontos:3, Interessante)
    por flock em 17-09-03 18:46 GMT (#122)
    (Utilizador Info) http://www.promiscua.org/
    Normalmente os security holes em windows passam por utilizar as aplicações de uma forma para a qual elas não foram projectadas. Muitas das vezes nem buffer overflows ocorrem, e quando ocorrem nem o sistema operativo os pode deter (devido à forma primitiva como o kernel foi programado), nem tem uma arquitectura decente que consiga evitar que esses exploits comprometam o sistema.

    Em Windows (pelo menos até ao XP) as stacks são executáveis (o que permite tirar proveito de quase todos os buffer overflows para comprometer o sistema) e os DLLs são escritos de uma forma que torna impossível mapeá-los noutra área de memória virtual (ao contrario dos ELFs em que basta alterar a mmap() e mudar o endereço de forma a tentar pelo menos impedir return into libcs sacados de format string bugs).

    Em *nix (e devido à arquitectura dos próprios sistemas), um exploit tem normalmente de dar bastantes voltas de forma a conseguir privilégios elevados no host afectado (no windows basta enfiar uma connectback shell num buffer e mudar-lhe o ret que a shell cai logo com system privileges seja em que serviço for).

    É a isto que eu me refiro quando falo da complexidade. Em windows ninguem tem de aceder a shared memory e alterar coisas de um parent process para atingir privilégios elevados, isso é completamente desnecessário porque o processo ownado já tem esses privilégios! Em windows tanto tu quanto o visinho do lado estão vulneraves exactamente aos mesmos exploits (porque o sistema é fechado e corre exactamente o mesmo code em todos os hosts); as únicas diferenças que podem existir são nos offsets que podem variar consuante a linguagem na qual o OS foi compilado (devido aos diferentes tamanhos das strings).

    Isto tudo faz com que explorar uma falha em windows com sucesso (depois de a conhecer) se torne muito mais básico que explorar uma em unix.

    Já o disse aqui antes e volto a dize-lo: em matéria de tecnologia de software, a microsoft está anos-luz atrás da comunidade open source. E se antes se podiam desculpar com o facto de pretenderem manter a compatibilidade com as versões antigas do DOS/Windows a 16 bits, agora já não podem.

    Agora a respeito do que eu disse, fundamento-me na falta de noção que demonstras em todo o lixo que postaste nesta thread e no facto de menosprezares quem não conheces e não tem as mesmas fontes de informação que tu. Abre a janela e olha lá para fora, conhece pesoas novas, debate ideias com elas, o mundo não se resume só ao teu quarto!


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:E falta esta ;) (Pontos:1)
    por tonidosimpostos em 17-09-03 19:08 GMT (#125)
    (Utilizador Info)
    Agora desculpa la mas qual é o problema da complexidade ? Evita alguma coisa hoje em dia ? O bug do apache que referi era complexo... E foi exploited. Isto faz-me lembrar as proteccoes anti copia que sao imensamente complexas mas caem todas por terra. Desde ha uns tempos para cá que a complexidade não tem sido problema. É nisso que baseias a segurança dum sistema *nix ? Por ser complexo de explorar ? Entao deves ler as advisories, "we are not sure if it can be exploitable", e ficas descansado ? É uma boa política, que mais parece "security by obscurity". É nisso que um sistema *nix é tao bom ? Great ! Ate o Amiga que se julgava bastante seguro em termos de estar ligado à internet tem tido problemas e bastante grandes.
    Re:E falta esta ;) (Pontos:1)
    por flock em 17-09-03 19:38 GMT (#126)
    (Utilizador Info) http://www.promiscua.org/
    É exactamente o que estou a dizer. A complexidade não evita nada! Mas demonstra a superior qualidade do software opensource comparada à £@§@£ que a microsoft produz! Tendo em conta os security holes BASICOS que existiram e ainda existem no windows, eu nem quero pensar no holocausto que não seria se aquilo fosse opensource!

    Quanto aos advisories, não os leio! A forma que uso para administrar um sistema lonux torna-o seguro mesmo que as aplicações sejam todas ratáveis (mas ao que me parece ainda não percebeste que administrar um sistema não é só instalar e configurar aplicações)! Um admin de linux pode sempre reprogramar o kernel para fazer EXACTAMENTE aquilo que quer e para agir de forma obscura e tornar o cracking job muito mais complicado para quem não tem acesso local (e até mesmo para quem tem)! Depende apenas da skill e do knowhow do admin, a source está lá, só tens de saber o que estás a fazer!


    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Re:E falta esta ;) (Pontos:1)
    por Kmos@TNO em 17-09-03 23:31 GMT (#134)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Apoio tudo o que disses-te até agora, dá-lhe com força a esses ceguetas! =p

    " I'm a lost soul in this lost world... "
    Re:E falta esta ;) (Pontos:2)
    por Lamego em 18-09-03 7:01 GMT (#139)
    (Utilizador Info) http://www.ptlink.net
    Ui. Para um win admin qualquer exploit é de uma complexidade imensa, então os patchs mais ainda.
    apache ? (Pontos:1)
    por apm em 17-09-03 16:02 GMT (#113)
    (Utilizador Info) http://%31%32%37%2E%30%2E%30%2E%31
    Bugs no apache ?
    Eu até fazia uma comparação entre o apache e o servidor de httpd dos iis, o problema é que tenho transito limitado, e tantos são os bugs no iis que ao postar aqui todos, passaria rapidamente os limites maximos impostos pela minha isp.

    "More stupid than use bad software, is to use bad software, pay for it, and still be happy"
    Re:apache ? (Pontos:2)
    por bofh em 18-09-03 15:24 GMT (#144)
    (Utilizador Info)
    Que exagero... ou ainda so tens 2GB/mes? =)

    perl -e 'printf "Estou %x\n",15782352' - JP
    Conversa de miúdos... (Pontos:2, Esclarecedor)
    por taf-7arte em 17-09-03 15:33 GMT (#104)
    (Utilizador Info) http://taf.net

    Estamos nalgum campeonato para ver quem tem mais bugs e qual deles o pior? :-(

    Todos os sistemas têm bugs, o que interessa é cada um escolher aquele com o qual se sente mais confortável na sua situação concreta. Falar em abstracto é uma tolice.
    Se uma empresa tiver à mão apoio competente para um sistema operativo fracote, vai estar melhor servida do que com um óptimo sistema operativo mas para o qual não tem funcionários com formação.

    Com tanta discussão "de adolescente" perde-se o interesse todo no tema...

    Re:Conversa de miúdos... (Pontos:1)
    por being em 17-09-03 19:55 GMT (#128)
    (Utilizador Info)
    De facto, toda a gente sabe que Linux tem menos bugs. Eheh, joking. ( para nao haver duvidas. )

    Be different, think for yourself.

    Re:Ja agora aqui vai mais um ! (Pontos:1)
    por NeVErMinD em 17-09-03 14:24 GMT (#91)
    (Utilizador Info)
    O Michal Zalewski sabe tanto não é? Ainda bem que ele nao tem acesso á source dos Produtos M$

    De qualquer forma já ha um patch para o bug e ainda nao foi confirmado se pode ser explorado remotamente.

    Re:Ja agora aqui vai mais um ! (Pontos:2)
    por CrLf em 17-09-03 14:33 GMT (#95)
    (Utilizador Info) http://crodrigues.webhop.net
    Ainda bem que ele nao tem acesso á source dos Produtos M$

    Pois é, seria uma vergonha para a MS. É engraçado ver como se descobrem falhas em software opensource, e sendo as quais imediatamente corrigidas (e os administradores de *nix sujeitos conscienciosos) quase não são exploradas, enquanto no software da MS os patches tardam em chegar e estas acabam por ter consequências desastrosas. Se se tivesse acesso à source então... seria o descalabro total! E depois ainda há quem nege isto... pobres iludidos.

    -- Carlos Rodrigues
    Re:Ja agora aqui vai mais um ! (Pontos:2)
    por racme em 17-09-03 15:06 GMT (#99)
    (Utilizador Info) vendetta.guildsoftware.com/
    > There seems to be a remotely exploitable vulnerability in Sendmail up to > and including the latest version, 8.12.9. The problem lies in prescan() > function, but is not related to previous issues with this code. Sim, o linux é um sistema seguro. Sim mudem para qmail, mas quanta gente ainda usa sendmail ? Devem ser uns largos milhares ou milhoes ainda...

    epa deem la a chupeta ao miudo senao ele nao se cala. Deve ca dar um gozo, aposto que deve esta r a rebolar de tanto riso a ver os outros atarefados e preocupados a patchar as suas maxines...

    http://www.securityfocus.com/news/6975

    Hackers distributing new Windows exploit
    By Ted Bridis, The Associated Press Sep 16 2003 2:43PM

    The threat from this new vulnerability -- which already has drawn stern warnings from the Homeland Security Department -- is remarkably similar to one that allowed the Blaster virus to infect hundreds of thousands of computers last month.
    The discovery gives fresh impetus for tens of millions of Windows users -- inside corporations and in their homes -- to immediately apply a free repairing patch from Microsoft. Homeland Security officials have warned that attacks could result in a "significant impact" on the operation of the Internet.
    Researchers from iDefense Inc. of Reston, Va., who found the new attack software being distributed from a Chinese Web site, said it was already being used to break into vulnerable computers and implant eavesdropping programs. They said they expect widespread attacks similar to the Blaster infection within days.


    and you? you are up 2 date kid?
    run ... run little boy run.. they are getting you... haha HA HA HAHAHAAH AHA!!



    Make World; Not War;
    Re:Ja agora aqui vai mais um ! (Pontos:1)
    por Init em 18-09-03 13:17 GMT (#143)
    (Utilizador Info)

    Qmail é proprietário, PostFix é Software Livre potente o suficiente, flexivél, mais seguro e facil de configurar.


    Re:Ja agora aqui vai mais um ! (Pontos:2)
    por scorpio em 19-09-03 18:50 GMT (#147)
    (Utilizador Info) http://eurotux.com/
    ... mais seguro?

    Esta é nova!
    Re:Ja agora aqui vai mais um ! (Pontos:2)
    por higuita em 24-09-03 17:00 GMT (#148)
    (Utilizador Info)
    mais, nao, mas tao seguro, sim...

    ambos foram desenvolvidos para serem seguros, modulares e flexiveis

    uma das principais vantagens do postfix e' que permite substituir o sendmail facilmente, sem ser preciso alterar nada nos outros programas, pois ele simula praticamente todos os comandos do sendmail
    em 5 minutos compila-se e troca-se o sendmail por uma alternativa muito mais simples de funcionar e mais segura

    o problema do postfix e' o mesmo do qmail, para serem seguros, eles rejeitam uma data de patchs interessantes, tipo os de SSL e os de SMTP auth, devido a confiarem em libs "perigosas" (openssl e a SASL)

    Higuita

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]