Re: Skript pro kontrolu napadení operací Windigo, test zranitelnosti OpenSSL

Ing. Leoš Houser leos.houser na aacomputer.cz
Pátek Duben 11 10:24:42 CEST 2014


Zdravím Konferenci.

>> jeho paměťovému prostoru z jiných procesů. Daemon používající služby 
>> OpenSSL
>> by tak neměl být schopen poskytnout segmenty paměti, co má přidělen jiný
>> proces (v tomto případě SSHD), protože k nim prostě nemá přístup.
>>
>> Jak známo, pokud se proces snaží pomocí ukazatelů sápat mimo přidělenou
>> paměť, obvykle zkončí segfaultem.
> OpenSSH je v téhle chybě zcela mimo hrací plochu. Co se chyby týče je 
> prostě problém už jen fakt, že vykdáká  > ven malou část paměti stejného 
> běžicího procesu. To, že snad nekdáká ven i z jiných procesů, závažnost 
> chyby
> nijak nesnižuje.
Vysvětloval jsem situaci, dotaz byl i na bezpečnost klíčů SSH. Jsem 
poslední, kdo by tuto chybu chtěl banalizovat.

>> Chyba v OpenSSL je podle mě zneužitelná jen prostřednictvím síťových
>> daemonů, kteří naslouchají na nějakém portu sítě, používají ke komunikaci
>> privátní klíče a certifikáty, a zároveň k manipulaci s nimi využívají 
>> služby
>> knihoven OpenSSL.
> Chyba je zneužitelná na cokoli, co může navázat TLS spojení (jakékoliv) 
> pomocí openssl knihovny zkompilovane > s podorou heartbeatu. Nemusí to být 
> nutně jen síťový demon - jakékoliv tunely, wrapery pro tunely nebo naopak 
>  > wraper mezi tunelem a nějakým běžicím skriptem, sdílená knihovna a tak 
> dale a tak podobně.
Abych pravdu napsal, lokální zneužítí jsem prakticky nezvažoval. Aktualizace 
možnost lokálního zneužití do budoucna uzavře. U externí komunikace poblém 
aktualizací zdaleka uzavřen není.

>> Ten restart je snad nutný proto, že SSH běží nad OpenSSL, má ho v
>> závislostech. Důvodu přesně nerozumím, ve sdílených knihovnách sshd 
>> knihovny
>> OpenSSL nemá. Viz
> Jasně že má knihovny z openssl balíku:
> libcrypto.so.10
No vidíte, tak dopadnete, když něco chcete dodělat ve 3 v noci. Přehlédnete 
očividnou věc (tedy knihovnu :-)). Pokud je aktualizována sdílená knihovna, 
je důvod k restartu SSH jasný.

> Každopádně SSH přece nepoužívá TLS spojení, problém je v části kódu která 
> je v jiné knihovně. SSH certifikáty > tak není třeba řešit vůbec; ten 
> restart se provádí pouze proto, aby byl zaveden se stejnou binárkou která 
> je na
> disku po aktualizaci (může být jinak přeložena a binárně různá) ne kvuli 
> chybě samotné.

S pozdravem LH

--
Ing. Leoš Houser, jednatel
AA COMPUTER, s.r.o.
Konečná 917/25
360 05 Karlovy Vary
Mob.: +420 737 107 202
E-mail: leos.houser na aacomputer.cz
WWW: http://www.aacomputer.cz
Blog:    http://it-blog.cz



Další informace o konferenci Linux