Folgende Meldungen gab rkhunter bei mir aus:


Application advisories

- OpenSSL 0.9.7g [ Vulnerable ]

und


Security advisories

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
info: PermitRootLogin yes
Hint: See logfile for more information about this issue

Muß ich mir nun Sorgen machen? Was bedeuten diese Meldungen?

Danke!

Hi,

bedeutet einfach, dass du dich direkt per ssh als root einloggen kannst. Das kannst du mit der Option "PermitRootLogin no" in der /etc/ssh/sshd_config ausschalten.

Das ist deshalb ein Risiko, weil mit Passwortattacken sofort root Zugriff erlangt werden könnte, daher sollte man das ausschalten.

Das ist nur eine Warnung, dass ein Risiko besteht...

Du kannst zum einen die OpenSSL-Version aktualisieren (ich hab hier z.B. 0.9.8d die ist schon von diesem September), aber ich denke, der eigentliche Grund für die "Vulnerability" liegt im zweiten Punkt:

Da wird eigentlich nur gesagt, dass es mit deiner ssh_config möglich ist, sich als root anzumelden. Das sollte man eigentlich abschalten.
Und es steht auch schon da, wie du das machen kannst:
In der Datei
/etc/ssh/sshd_config den Eintrag
PermitRootLogin auf
No setzen....

Danke!

Nun bleibt nur noch die zuerstgenannte Meldung, also

Application advisories

- OpenSSL 0.9.7g [ Vulnerable ]

Ich habe mal gegoogelt und folgendes zu der genannten OpenSSL Version hier (http://archive.cert.uni-stuttgart.de/archive/win-sec-ssc/2006/10/msg00006.html) gefunden:


Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Advisory von Mandriva Security. Wir
geben diese Informationen unveraendert an Sie weiter.

CVE-2006-2937 - Schwachstelle beim Parsen von ASN.1 Strukturen in
OpenSSL

Beim Parsen von ASN.1 Strukturen mittels OpenSSL wird ein Fehler nicht
korrekt behandelt. Dies kann dazu fuehren, dass das Programm in eine
Endlosschleife eintritt (Denial of Service).

CVE-2006-2940 - Schwachstelle beim Verarbeiten von Public Keys in
OpenSSL

Bei der Verarbeitung von oeffentlichen Schluesseln durch OpenSSL kann
es dazu kommen, dass OpenSSL uebermaessig viel Rechenzeit in Anspruch
nimmt. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um
einen Denial of Service Angriff auf das System zu starten.

CVE-2006-3738 - Buffer Overflow in Funktion SSL_get_shared_ciphers() in
OpenSSL

In OpenSSL wurde innerhalb der Funktion SSL_get_shared_ciphers() eine
Schwachstelle entdeckt, durch die ein Buffer Overflow ausgeloest
werden kann. Die Funktion dient dem Bilden einer Schnittmenge zwischen
den vom Server und und vom Client unterstuetzten Ciphers. Ein
Angreifer kann durch das Senden von manipulierten Daten den Buffer
Overflow ausloesen und damit potentiell beliebige Befehle auf dem
betroffenen System ausfuehren.

Ob eine Anwendung von der Schwachstelle betroffen ist, haengt davon
ab, ob sie die Funktion SSL_get_shared_ciphers() verwendet. Dies ist
z.B. bei Exim, MySQL und openssl s_client / s_server der Fall.

CVE-2006-4343 - Null Pointer Referenzierung in OpenSSL
get_server_hello()

Die OpenSSL Funktion get_server_hello() kann unter bestimmten
Umstaenden einen Null Pointer dereferenzieren, wodurch die Anwendung
abstuerzt. Dies ist z.B. im SSLv2 Client der Fall. Ein Angreifer kann
diese Schwachstelle ueber einen manipuliteren SSL-Server zu einem
Denial of Service Angriff ausnutzen.

Betroffen sind die folgenden Software Pakete und Plattformen:
.....


Nun muß ich wohl warten, bis mein Distributor ein aktuelles OpenSSL Paket einpflegt. :(

Was für Distribution hast du denn? Und von wann ist diese Sicherheitsmeldung?
Mandriva hat am 8.11.2006 neue OpenSSH Pakete bereitgestellt. Ist das schon wieder eine neue Lücke, oder noch die alte?

Die Meldung ist vom 4.10.06. Ich benutze PCLinuxOS, eine auf Mandriva basierende Distri. Es gab hier schon länger keine aktuallisierten Pakete mehr.

Edit: Habe mal im englischsprachigen Forum von PCLinuxOS nachgeschaut. Dort wurde dieses Problem auch angesprochen, aber es scheint dort keine große Besorgnis auszulösen...

RKHunter beachtet nur die Version, aber nicht das Patchlevel. Eine andere Version von OpenSSL wirst du mit der gleichbleibenden Version deiner Distribution nicht bekommen...

... Eine andere Version von OpenSSL wirst du mit der gleichbleibenden Version deiner Distribution nicht bekommen...

Wieso nicht?

Weil das üblicherweise die Politik ist. Eine bestimmte Version des Pakets für eine bestimmte Version der Distribution. Sicherheitspatches werden zurückportiert und als neues Paket mit anderem Patchlevel veröffentlicht, solange die Distributionsversion unterstützt wird. Schau dir meinetwegen Debian, SuSE oder Redhat Linux an.

Verstehe. Das heißt also, rkhunter kann sich "irren"? Wenn ja, wie kann ich das rausfinden?:confused:

Indem du die Changelogs bzw. Releaseinformationen zu dem beanstandeten Paket durchliest. Die jeweils gefixten Sicherheitslöcher (bzw. deren CVE IDs) werd darin genannt.

Indem du die Changelogs bzw. Releaseinformationen zu dem beanstandeten Paket durchliest. Die jeweils gefixten Sicherheitslöcher (bzw. deren CVE IDs) werd darin genannt.

Wo bekomme ich die her? Immerhin, in den Infos die apt mir liefert, heißt die Version 0.9.7.g-4tex.
Irgendwas hat sich also in der Tat getan. Aber was?

Jedenfalls steht in Kürze eine neue Version von PCLOS an, mein kleines Problem wird also wohl bald obsolet. :)

Die Infos findest Du auf der Homepage deines Distibutors oder in den Archiven der Security-Mailingliste...