Nieuws
image

OpenSSH remote root exploit voor FreeBSD

donderdag 30 juni 2011, 17:25 door Redactie, 12 reacties

Beveiligingsonderzoeker "Kingcope" heeft een remote root exploit voor FreeBSD gepubliceerd. De afgelopen twee dagen onderzocht de onderzoeker een lek in OpenSSH op FreeBSD 4.9 en 4.11. Deze FreeBSD versies draaien standaard OpenSSH 3.5p1. Kingcope ontwikkelde na het vinden van het lek een werkende remote exploit, die aanvallers een root shell geeft.

Crash
De kwetsbaarheid is volgens de onderzoeker zowel via ssh1 als ssh2 te veroorzaken, door gebruik van een aangepaste ssh client. Het probleem bevindt zich in het broncodebestand "auth2-pam-freebsd.c". Het bestand is vanaf FreeBSD 5.2.1 niet meer in het besturingssysteem aanwezig.

Of de bug in OpenSSH of FreeBSD aanwezig is kon Kingcope niet zeggen. Door het opgeven van een lange gebruikersnaam crasht de ssh daemon. Vervolgens wordt de exploit uitgevoerd.

Reacties (12)
30-06-2011, 17:48 door Anoniem
Uit het bronartikel:

During the investigation of the vulnerability it was found that
the bug resides in the source code file "auth2-pam-freebsd.c".

http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/Attic/auth2-pam-freebsd.c

This file does not exist in FreeBSD releases greater than 5.2.1. The last commit
is from 7 years ago.

Het gaat dus om een 7 jaar oude release. Spannend hoor..
30-06-2011, 17:51 door SirDice
Beveiligingsonderzoeker "Kingcope" heeft een remote root exploit voor FreeBSD gepubliceerd. De afgelopen twee dagen onderzocht de onderzoeker een lek in OpenSSH op FreeBSD 4.9 en 4.11.
Leuk maar die versies zijn al jaren end-of-life.

Het bestand is vanaf FreeBSD 5.2.1 niet meer in het besturingssysteem aanwezig.
En ook de 5.x versies zijn al lang end-of-life.

Dit wordt dus ook niet verholpen maar dat lijkt me duidelijk. De laagste, nog steeds ondersteunde, versie is 7.3-RELEASE.

http://www.freebsd.org/security/#sup
30-06-2011, 18:05 door SirDice
Overigens vermoed ik dat het deze is: http://www.openssh.com/txt/sshpam.adv
30-06-2011, 18:08 door Securitate
is deze vriend toch een momentje beroemd geweest...
30-06-2011, 20:16 door Anoniem
Klagen en mopperen over dat het in een oude versies of end-of-life producten zit is belachelijk! Het gaat in de praktijk niet om de ouderdom van software of end-of-life beleid van de makers maar om wat je als afnemer voor je kiezen krijgt. Zolang de afnemer van een product of dienst voor zichzelf geen volwassen beveiligingsbeleid voert is de kans groot dat je als afnemer behoorlijk risico loopt op problemen. Afnemers doen er verstandig aan om wat betreft accepteren van risico van end-of-life software of patch-cyclus keihard eisen te stellen naar de leverancier. Maar ik kan je verzekeren dat er helaas flink wat grote organisaties zijn waar ze dat niet door hebben. Gevolg is dat klanten makke lammetjes zijn en de leveranciers vrij spel hebben om eigen beleid te hanteren die vaak veel minder gunstig is voor het risico van de afnemers. Tja, en als je je daar als afnemer niet eens van bewust van bent en er ook niet achteraan zit....
30-06-2011, 22:05 door Anoniem
Fijne kop hoor, flink wat admins een hartverzakking geven. BSD 4.x. DUH!
30-06-2011, 23:12 door Anoniem
Schrok me rot man gekkenhuis!
01-07-2011, 09:34 door SirDice
Zolang de afnemer van een product of dienst voor zichzelf geen volwassen beveiligingsbeleid voert is de kans groot dat je als afnemer behoorlijk risico loopt op problemen. Afnemers doen er verstandig aan om wat betreft accepteren van risico van end-of-life software of patch-cyclus keihard eisen te stellen naar de leverancier.
Een afnemer wordt ook aangeraden om de laatste versie van de software te gebruiken. Doet die afnemer, tegen alle adviezen, dat niet dan is het risico voor die afnemer en niet voor de leverancier.
Gevolg is dat klanten makke lammetjes zijn en de leveranciers vrij spel hebben om eigen beleid te hanteren die vaak veel minder gunstig is voor het risico van de afnemers.
Als het makke lammetjes waren geweest had men al lang en breed 8.2-RELEASE draaien en niet een 7 jaar oude versie die al 5 jaar niet meer ondersteund wordt.
01-07-2011, 10:12 door Anoniem
Door Anoniem: Het gaat dus om een 7 jaar oude release. Spannend hoor..

Het is niet spannend. Maar voor die broncode kan nu wel gebruikt worden in opleidingen als voorbeeld van hoe het fout gaat.

Peter
01-07-2011, 14:42 door ej__
Door Anoniem: Klagen en mopperen over dat het in een oude versies of end-of-life producten zit is belachelijk! Het gaat in de praktijk niet om de ouderdom van software of end-of-life beleid van de makers maar om wat je als afnemer voor je kiezen krijgt. Zolang de afnemer van een product of dienst voor zichzelf geen volwassen beveiligingsbeleid voert is de kans groot dat je als afnemer behoorlijk risico loopt op problemen. Afnemers doen er verstandig aan om wat betreft accepteren van risico van end-of-life software of patch-cyclus keihard eisen te stellen naar de leverancier. Maar ik kan je verzekeren dat er helaas flink wat grote organisaties zijn waar ze dat niet door hebben. Gevolg is dat klanten makke lammetjes zijn en de leveranciers vrij spel hebben om eigen beleid te hanteren die vaak veel minder gunstig is voor het risico van de afnemers. Tja, en als je je daar als afnemer niet eens van bewust van bent en er ook niet achteraan zit....

Welke eisen denk je te kunnen stellen aan een open source project dat bij voorbaat alle verantwoordelijkheid bij de gebruiker legt?

Welke imbeciel denkt dat hij software die al 5 jaar out-of-service is nog veilig kan gebruiken zoals SirDice al terecht opmerkt?
01-07-2011, 17:51 door Anoniem
Welke eisen denk je te kunnen stellen aan een open source project dat bij voorbaat alle verantwoordelijkheid bij de gebruiker legt?


Ik doel niet op de ontwikkelaars als leverancier maar de vele dienstverleners die aan organisaties als bedrijven systemen aanbieden met de software er op. En dan heb ik het ook over aanbieders in de vorm van IT-organisaties binnen bedrijven die diensten aanbieden aan de marketingafdeling om een website op te zetten voor een actie of voor facilitaire dienst service aanbieden.

Welke imbeciel denkt dat hij software die al 5 jaar out-of-service is nog veilig kan gebruiken zoals SirDice al terecht opmerkt?
Veiligheid staat zowel bij de aanbieders als de afnemers vaak niet bewust op het lijstje van aandachtspunten - of ze zijn er te makkelijk in vanwege tijdsdruk of andere factoren. En ik kijk echt niet vreemd op als manager x weer even snel een goedkope dienst gaat afnemen en dan achteraf bedenkt dat er ook nog aan veiligheid gedacht moet worden. Weg moment om eisen te stellen aan de dienstverlener - en ze leren het echt niet! Keer op keer achteraf even laten kijken waar ze vooraf aan hadden kunnen denken en dan een vinkje zetten dat er aandacht is geweest voor veiligheid. En de dienstverleners/aanbieders maken daar graag misbruik van door hun eigen eisen naar voren te schuiven waar niets of een belachelijk patchcyclus in staat. Ga je ze imbeciel noemen? Zolang ze geld verdienen en de problemen achteraf goedgepraat kunnen worden met vinkjes is het ergens helaas slim. Want wie heefrt er meestal echt last van? Juist - de klanten van de afnemers die hun persoonsgegevens niet onder controle hebben en die snappen er al helemaal niets van wat betreft veiligheid en risico's of staan machteloos.
04-07-2011, 17:13 door SirDice
Er zijn niet heel veel bedrijven die ondersteuning leveren voor FreeBSD maar ik weet zeker dat ze allemaal de klant op de hoogte brengen wanneer een versie EoL raakt.

--
Linux is for people that hate Windows, FreeBSD is for people that love UNIX.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure