Re: Skript pro kontrolu napadení operací Windigo, test zranitelnosti OpenSSL
Ing. Leoš Houser
leos.houser na aacomputer.cz
Pátek Duben 11 10:24:42 CEST 2014
Zdravím Konferenci.
>> jeho paměťovému prostoru z jiných procesů. Daemon používající služby
>> OpenSSL
>> by tak neměl být schopen poskytnout segmenty paměti, co má přidělen jiný
>> proces (v tomto případě SSHD), protože k nim prostě nemá přístup.
>>
>> Jak známo, pokud se proces snaží pomocí ukazatelů sápat mimo přidělenou
>> paměť, obvykle zkončí segfaultem.
> OpenSSH je v téhle chybě zcela mimo hrací plochu. Co se chyby týče je
> prostě problém už jen fakt, že vykdáká > ven malou část paměti stejného
> běžicího procesu. To, že snad nekdáká ven i z jiných procesů, závažnost
> chyby
> nijak nesnižuje.
Vysvětloval jsem situaci, dotaz byl i na bezpečnost klíčů SSH. Jsem
poslední, kdo by tuto chybu chtěl banalizovat.
>> Chyba v OpenSSL je podle mě zneužitelná jen prostřednictvím síťových
>> daemonů, kteří naslouchají na nějakém portu sítě, používají ke komunikaci
>> privátní klíče a certifikáty, a zároveň k manipulaci s nimi využívají
>> služby
>> knihoven OpenSSL.
> Chyba je zneužitelná na cokoli, co může navázat TLS spojení (jakékoliv)
> pomocí openssl knihovny zkompilovane > s podorou heartbeatu. Nemusí to být
> nutně jen síťový demon - jakékoliv tunely, wrapery pro tunely nebo naopak
> > wraper mezi tunelem a nějakým běžicím skriptem, sdílená knihovna a tak
> dale a tak podobně.
Abych pravdu napsal, lokální zneužítí jsem prakticky nezvažoval. Aktualizace
možnost lokálního zneužití do budoucna uzavře. U externí komunikace poblém
aktualizací zdaleka uzavřen není.
>> Ten restart je snad nutný proto, že SSH běží nad OpenSSL, má ho v
>> závislostech. Důvodu přesně nerozumím, ve sdílených knihovnách sshd
>> knihovny
>> OpenSSL nemá. Viz
> Jasně že má knihovny z openssl balíku:
> libcrypto.so.10
No vidíte, tak dopadnete, když něco chcete dodělat ve 3 v noci. Přehlédnete
očividnou věc (tedy knihovnu :-)). Pokud je aktualizována sdílená knihovna,
je důvod k restartu SSH jasný.
> Každopádně SSH přece nepoužívá TLS spojení, problém je v části kódu která
> je v jiné knihovně. SSH certifikáty > tak není třeba řešit vůbec; ten
> restart se provádí pouze proto, aby byl zaveden se stejnou binárkou která
> je na
> disku po aktualizaci (může být jinak přeložena a binárně různá) ne kvuli
> chybě samotné.
S pozdravem LH
--
Ing. Leoš Houser, jednatel
AA COMPUTER, s.r.o.
Konečná 917/25
360 05 Karlovy Vary
Mob.: +420 737 107 202
E-mail: leos.houser na aacomputer.cz
WWW: http://www.aacomputer.cz
Blog: http://it-blog.cz
Další informace o konferenci Linux