| Actualització 27-06-02 |
|---|
| Publicat un butlletí sobre els detalls de les vulnerabilitats
|
|
| Actualització 26-06-02 |
|---|
Ja s'ha fet públic l'avís de la vulnerabilitat (vegeu l'avís d'ISS i d'OpenSSH.com). La vulnerabilitat afecta a les versions 2.9.9 a 3.3. Als avisos s'ionclouen pegats per eliminar la vulnerabilitat, que no afecta als sistemes que fan servir les opcions
UsePrivilegeSeparation yes
o
ChallengeResponseAuthentication no.
Addicionalment, s'ha publicat la versió 3.4 que incorpora aquests pegats i d'altres millores. Es recomana, sempre que sigui possible, l'actualització a la nova versió.
|
|
Està prevista, per a la propera setmana l'anunci d'una nova vulnerabilitat d'OpenSSH. Malgrat l'absència de detalls concrets, dels quals s'informarà en el moment de fer pública la vulnerabilitat, es sap que quan el sshd s'executa amb separació de privilegis, la vulnerabilitat no es explotable.
No obstant, cal actualitzar a la nova versió 3.3p, publicada fa uns pocs dies. Malgrat que aquesta nova versió no soluciona el problema, permet evitar-lo si s'utilitza la configuració de privilegis separats. Per a utilitzar aquesta configuració, cal afegir la línia:
UsePrivilegeSeparation yes
al fitxer /etc/ssh/sshd_config.
OpenSSH és una distribució gratuïta que implementa els protocols SSH versió 1 i 2, els quals ens proporcionen la possibilitat de mantenir sessions interactives encriptades.
La introducció dels privilegis separats a OpenSSH és bastant recent, poc més de tres mesos, i encara no està totalment desenvolupada a tots els sistemes. Això implica que la seva utilització pot comportar la pèrdua d'algunes característiques particulars (en determinats sistemes) com per exemple la compressió de dades.
En general la separació de privilegis és fruit de l'esforç per tal de millorar la seguretat d'OpenSSH, diferenciant les diferents parts del codi: una que necessàriament ha d'executar-se com a root i la segona que s'introdueix dins d'una gàbia "chroot", sense privilegis.
A l'actualitzar a la versió 3.3 cal tenir present que l'opció "UsePrivilegeSeparation" està activa per defecte. Això ens obligarà a realitzar una sèrie de canvis a la configuració del sistema, com són l'haver de crear un nou usuari sense privilegis i un directori per a la gàbia. També notarem que per a cada connexió es creen dos processos separats: un de l'usuari que es connecta i l'altra que correspon al monitor de privilegis de l'anterior.
Més informació
Pàgina oficial de l'OpenSSH
http://www.openssh.com
OpenSSH 3.3 released
http://www.mindrot.org/pipermail/openssh-unix-announce/2002-June/000040.html
Upcoming OpenSSH vulnerability:
http://www.mindrot.org/pipermail/openssh-unix-announce/2002-June/000041.html
Center for Information Technology Integration
Privilege Separated OpenSSH
http://www.citi.umich.edu/u/provos/ssh/privsep.html
Francisco Javier Santos
fsantos@hispasec.com
|
