Re: Skript pro kontrolu napadení operací Windigo, test zranitelnosti OpenSSL

Ing. Leoš Houser leos.houser na aacomputer.cz
Čtvrtek Duben 10 03:12:29 CEST 2014 

Zdravím.

Osobně jsem přegeneroval všechny certifikáty na systémech, které měly 
postižené verze OpenSSL. Doporučuji udělat totéž.

Pro jistotu jsem přegeneroval i klíče pro SSH, i když by to nemělo být 
nutné. OpenSSH server OpenSSL nepoužívá k externí komunikaci, tak to 
(předpoklám) nejde zneužít. Zkoušel jsem pro zajímavost tu utilitku psanou v 
Pythonu i proti OpenSSH serveru. Nefungovalo to, jak jsem očekával, ani na 
ještě neaktualizovaných serverech  Proti HTTPS serverům mi to naopak 
fungovalo před aktualizací až moc dobře.

OpenSSH server pokud není "vylepšen"  například pomocí Linux/Ebury, paměť s 
jimými procesy nesdílí. Ochrana paměti jádrem by měla zabránit v přístupu k 
jeho paměťovému prostoru z jiných procesů. Daemon používající služby OpenSSL 
by tak neměl být schopen poskytnout segmenty paměti, co má přidělen jiný 
proces (v tomto případě SSHD), protože k nim prostě nemá přístup.

Jak známo, pokud se proces snaží pomocí ukazatelů sápat mimo přidělenou 
paměť, obvykle zkončí segfaultem.

Chyba v OpenSSL je podle mě zneužitelná jen prostřednictvím síťových 
daemonů, kteří naslouchají na nějakém portu sítě, používají ke komunikaci 
privátní klíče a certifikáty, a zároveň k manipulaci s nimi využívají služby 
knihoven OpenSSL.

Možná nám to tady nějaký programátor vysvětlí lépe...

Ten restart je snad nutný proto, že SSH běží nad OpenSSL, má ho v 
závislostech. Důvodu přesně nerozumím, ve sdílených knihovnách sshd knihovny 
OpenSSL nemá. Viz

# ldd -v /usr/sbin/sshd |grep ssl
#

Co se týká závislosti, můžete si je zkontrolovat na Debianech pomocí 
příkazu:

# apt-cache depends openssh-server |grep ssl
 Depends: libssl0.9.8
#


Na RPM je to:

# yum deplist openssh |grep ssl
   provider: openssl.x86_64 0.9.8e-27.el5_10.1
  dependency: openssl >= 0.9.8e
#

S pozdravem LH

--
Ing. Leoš Houser, jednatel
AA COMPUTER, s.r.o.
Konečná 917/25
360 05 Karlovy Vary
Mob.: +420 737 107 202
E-mail: leos.houser na aacomputer.cz
WWW: http://www.aacomputer.cz
Blog:    http://it-blog.cz


----- Původní zpráva ----- 
Od: "Adam Pribyl" <pribyl na lowlevel.cz>
Komu: "Diskuse o Linuxu v cestine" <linux na linux.cz>
Odesláno: 9. dubna 2014 20:58
Předmět: Re: Skript pro kontrolu napadení operací Windigo, test 
zranitelnosti OpenSSL


> On Wed, 9 Apr 2014, Ing. Leoš Houser wrote:
>
>> Zdravím konferenci.
>>
>> Konference je dnes zcela mrtvá, předpokládám, že všichni záplatujete :-)
>
> Zazaplatovano uz by bylo, jen porad nevim co s temi certifikaty atd. Treba
> debian pri aktualizaci openssl doporucuje i restart ssh, ale ssh by snad
> touto chybou nemelo byt postizeno tak, aby mohlo slouzit za vstupni brana.
>
> Jina vec je, ze na naproste vetsine serveru bezi neco pres ssl, at uz
> https nebo imaps apod. takze zprostredkovane muze byt kompromitovane
> vsechno. Hledam tedy, zda nekdo krom toho povyku kolem zaplat,
> publikuje i popis nejakych rozumnych opatrenich co dal a jak nejlepe na
> to, protoze se mi nechce pregenerovavat panicky napr. vsechny certifikaty
> pro VPNky.
>
>

Další informace o konferenci Linux