Nieuws
image

Ernstig remote authenticatielek in OpenBSD gepatcht

donderdag 5 december 2019, 15:59 door Redactie, 14 reacties

Er is een ernstig remote authenticatielek in OpenBSD gepatcht dat aanvallers op afstand toegang tot verschillende systemen had kunnen geven. De kwetsbaarheid in het authenticatiesysteem werd ontdekt door onderzoekers van securitybedrijf Qualys en maakte het mogelijk om de authenticatie te omzeilen.

Door het opgeven van een bepaalde gebruikersnaam kon een remote aanvaller in het geval van smtpd, ldapd en radiusd de authenticatie beïnvloeden zodat die automatisch succesvol was. Zodoende was het mogelijk om zonder geldig wachtwoord in te loggen. Hiervoor moest de gebruikersnaam "-schallenge" (of "-schallenge:passwd") worden gebruikt. Zodra een aanvaller deze gebruikersnaam opgaf werd hij automatisch ingelogd.

De aanval werkte vanwege "defense-in-depth" maatregelen niet tegen sshd. Qualys waarschuwde de ontwikkelaars van OpenBSD, die binnen 40 uur met een patch kwamen. Naast het authenticatielek zijn ook drie andere kwetsbaarheden verholpen waardoor een aanvaller die al toegang tot een systeem had zijn rechten kon verhogen. Gebruikers van OpenBSD 6.5 en OpenBSD 6.6 krijgen het advies om de laatste updates te installeren.

Reacties (14)
05-12-2019, 16:13 door Anoniem
Only two remote holes in the default install, in a heck of a long time!
05-12-2019, 18:06 door Anoniem
'We thank Theo de Raadt and the OpenBSD developers for their incredibly quick response: they published patches for these vulnerabilities less than 40 hours after our initial contact. We also thank MITRE's CVE Assignment Team.'

____ Qualys Security Advisory

"You can’t secure what you can’t see or don’t know."
05-12-2019, 19:24 door Anoniem
De aanval werkte vanwege "defense-in-depth" maatregelen niet tegen sshd.

'nough said. Nog steeds geen remote hole dus.
05-12-2019, 20:45 door [Account Verwijderd] - Bijgewerkt: 05-12-2019, 20:47
Door Anoniem: Only two remote holes in the default install, in a heck of a long time!

Dat klopt en ik denk dat ze dat nummer nu zullen moeten verhogen.

Maar als je dan kijkt naar de Wall of Shame van Android [1], dan lijkt mij dat OpenBSD nog steeds een goede keuze is.

[1] https://www.security.nl/posting/633881/Google+patchte+dit+jaar+477+beveiligingslekken+in+Android
05-12-2019, 21:08 door Anoniem
Het is en blijft software..
06-12-2019, 09:20 door Power2All
Als BSD affected was op dit moment, hoe staat dat dan met Apple ervoor ?
Die is gebaseerd op BSD, dus is het niet mogelijk dat Apple het lek ook heeft overgenomen ?
06-12-2019, 10:04 door [Account Verwijderd]
Door Power2All: Als BSD affected was op dit moment, hoe staat dat dan met Apple ervoor ?
Die is gebaseerd op BSD, dus is het niet mogelijk dat Apple het lek ook heeft overgenomen ?

Enige historie hier: https://en.wikipedia.org/wiki/Darwin_(operating_system)
06-12-2019, 10:18 door Anoniem
Door Power2All: Als BSD affected was op dit moment, hoe staat dat dan met Apple ervoor ?
Die is gebaseerd op BSD, dus is het niet mogelijk dat Apple het lek ook heeft overgenomen ?
Kijk even naar de stamboom. Er zit vrij veel tijd en afstand tussen Darwin (het stuk "BSD" in MacOS X en iOS) en OpenBSD. Het is dus niet gezegd dat hetzelfde lek ook al bestond bij de meest recente tweesprong die uiteindelijk naar zowel OpenBSD als naar Darwin leidt. Mischien dat het later overgegeven is (de *BSDs jatten veel van elkaar, maar niet alles), dus je moet er induiken.

Als ik naar de manpages kijk van de dingen waar het over gaat, nou, vergelijk de manpage van login.conf op man.openbsd.org en man.freebsd.org. Er worden compleet andere dingen beschreven. Vergelijkbare functionaliteit zit bij FreeBSD onder "pam" (pluggable authentication modules, ideetje van sun microsystems maar ook beschikbaar op linux) en ik weet zo snel even niet wat MacOS X gebruikt. Mijn "educated guess" zou zijn dat dit een OpenBSD ding is. Maar als je het zeker wil weten, kijk het na.
06-12-2019, 12:33 door Power2All
Door Anoniem:
Door Power2All: Als BSD affected was op dit moment, hoe staat dat dan met Apple ervoor ?
Die is gebaseerd op BSD, dus is het niet mogelijk dat Apple het lek ook heeft overgenomen ?
Kijk even naar de stamboom. Er zit vrij veel tijd en afstand tussen Darwin (het stuk "BSD" in MacOS X en iOS) en OpenBSD. Het is dus niet gezegd dat hetzelfde lek ook al bestond bij de meest recente tweesprong die uiteindelijk naar zowel OpenBSD als naar Darwin leidt. Mischien dat het later overgegeven is (de *BSDs jatten veel van elkaar, maar niet alles), dus je moet er induiken.

Als ik naar de manpages kijk van de dingen waar het over gaat, nou, vergelijk de manpage van login.conf op man.openbsd.org en man.freebsd.org. Er worden compleet andere dingen beschreven. Vergelijkbare functionaliteit zit bij FreeBSD onder "pam" (pluggable authentication modules, ideetje van sun microsystems maar ook beschikbaar op linux) en ik weet zo snel even niet wat MacOS X gebruikt. Mijn "educated guess" zou zijn dat dit een OpenBSD ding is. Maar als je het zeker wil weten, kijk het na.

Thanks voor de uitleg.
Het was meer een ingeving, ik ben zelf geen Apple gebruiker, maar mijn werkgevers gebruiken dat wel, vandaar mijn vraagtekens :)
06-12-2019, 13:29 door Anoniem
Is Theo in de loop van de jaren al wat rustiger geworden?
07-12-2019, 00:45 door Anoniem
Door Anoniem: Is Theo in de loop van de jaren al wat rustiger geworden?

Nee. Zeker niet.
07-12-2019, 15:04 door Anoniem
Dit doet sterk denken aan het "-froot" lek in login van meer dan 20 jaar geleden.
Heeft men dan nog steeds niets geleerd?
09-12-2019, 12:02 door Anoniem
Door Anoniem: Dit doet sterk denken aan het "-froot" lek in login van meer dan 20 jaar geleden.
Heeft men dan nog steeds niets geleerd?

Fix jij het anders even..
11-12-2019, 07:46 door Jean Vohur - Bijgewerkt: 11-12-2019, 07:47
Door Anoniem:
Door Anoniem: Dit doet sterk denken aan het "-froot" lek in login van meer dan 20 jaar geleden.
Heeft men dan nog steeds niets geleerd?

Fix jij het anders even..

Zoals de titel van het artikel doet vermoeden is het al lang opgelost. Zie ook: https://cyware.com/news/openbsd-fixes-authentication-bypass-flaw-and-other-severe-bugs-4a3a184f.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure