Re: Skript pro kontrolu napadení operací Windigo, test zranitelnosti OpenSSL
Ing. Leoš Houser
leos.houser na aacomputer.cz
Čtvrtek Duben 10 03:12:29 CEST 2014
Zdravím.
Osobně jsem přegeneroval všechny certifikáty na systémech, které měly
postižené verze OpenSSL. Doporučuji udělat totéž.
Pro jistotu jsem přegeneroval i klíče pro SSH, i když by to nemělo být
nutné. OpenSSH server OpenSSL nepoužívá k externí komunikaci, tak to
(předpoklám) nejde zneužít. Zkoušel jsem pro zajímavost tu utilitku psanou v
Pythonu i proti OpenSSH serveru. Nefungovalo to, jak jsem očekával, ani na
ještě neaktualizovaných serverech Proti HTTPS serverům mi to naopak
fungovalo před aktualizací až moc dobře.
OpenSSH server pokud není "vylepšen" například pomocí Linux/Ebury, paměť s
jimými procesy nesdílí. Ochrana paměti jádrem by měla zabránit v přístupu k
jeho paměťovému prostoru z jiných procesů. Daemon používající služby OpenSSL
by tak neměl být schopen poskytnout segmenty paměti, co má přidělen jiný
proces (v tomto případě SSHD), protože k nim prostě nemá přístup.
Jak známo, pokud se proces snaží pomocí ukazatelů sápat mimo přidělenou
paměť, obvykle zkončí segfaultem.
Chyba v OpenSSL je podle mě zneužitelná jen prostřednictvím síťových
daemonů, kteří naslouchají na nějakém portu sítě, používají ke komunikaci
privátní klíče a certifikáty, a zároveň k manipulaci s nimi využívají služby
knihoven OpenSSL.
Možná nám to tady nějaký programátor vysvětlí lépe...
Ten restart je snad nutný proto, že SSH běží nad OpenSSL, má ho v
závislostech. Důvodu přesně nerozumím, ve sdílených knihovnách sshd knihovny
OpenSSL nemá. Viz
# ldd -v /usr/sbin/sshd |grep ssl
#
Co se týká závislosti, můžete si je zkontrolovat na Debianech pomocí
příkazu:
# apt-cache depends openssh-server |grep ssl
Depends: libssl0.9.8
#
Na RPM je to:
# yum deplist openssh |grep ssl
provider: openssl.x86_64 0.9.8e-27.el5_10.1
dependency: openssl >= 0.9.8e
#
S pozdravem LH
--
Ing. Leoš Houser, jednatel
AA COMPUTER, s.r.o.
Konečná 917/25
360 05 Karlovy Vary
Mob.: +420 737 107 202
E-mail: leos.houser na aacomputer.cz
WWW: http://www.aacomputer.cz
Blog: http://it-blog.cz
----- Původní zpráva -----
Od: "Adam Pribyl" <pribyl na lowlevel.cz>
Komu: "Diskuse o Linuxu v cestine" <linux na linux.cz>
Odesláno: 9. dubna 2014 20:58
Předmět: Re: Skript pro kontrolu napadení operací Windigo, test
zranitelnosti OpenSSL
> On Wed, 9 Apr 2014, Ing. Leoš Houser wrote:
>
>> Zdravím konferenci.
>>
>> Konference je dnes zcela mrtvá, předpokládám, že všichni záplatujete :-)
>
> Zazaplatovano uz by bylo, jen porad nevim co s temi certifikaty atd. Treba
> debian pri aktualizaci openssl doporucuje i restart ssh, ale ssh by snad
> touto chybou nemelo byt postizeno tak, aby mohlo slouzit za vstupni brana.
>
> Jina vec je, ze na naproste vetsine serveru bezi neco pres ssl, at uz
> https nebo imaps apod. takze zprostredkovane muze byt kompromitovane
> vsechno. Hledam tedy, zda nekdo krom toho povyku kolem zaplat,
> publikuje i popis nejakych rozumnych opatrenich co dal a jak nejlepe na
> to, protoze se mi nechce pregenerovavat panicky napr. vsechny certifikaty
> pro VPNky.
>
>
Další informace o konferenci Linux