Anzeige:
Ergebnis 1 bis 13 von 13

Thema: rkhunter - Warnung

  1. #1
    Registrierter Benutzer
    Registriert seit
    May 2003
    Beiträge
    303

    rkhunter - Warnung

    Folgende Meldungen gab rkhunter bei mir aus:

    Code:
    Application advisories
    
       - OpenSSL 0.9.7g                                           [ Vulnerable ]
    und

    Code:
    Security advisories
    
    * Check: SSH
       Searching for sshd_config...
       Found /etc/ssh/sshd_config
       Checking for allowed root login... Watch out Root login possible. Possible risk!
        info: PermitRootLogin yes
        Hint: See logfile for more information about this issue
    Muß ich mir nun Sorgen machen? Was bedeuten diese Meldungen?

    Danke!

  2. #2
    Derdernixzuentscheidenhat
    Registriert seit
    Jun 2005
    Ort
    Dortmund
    Beiträge
    547
    Hi,

    bedeutet einfach, dass du dich direkt per ssh als root einloggen kannst. Das kannst du mit der Option "PermitRootLogin no" in der /etc/ssh/sshd_config ausschalten.

    Das ist deshalb ein Risiko, weil mit Passwortattacken sofort root Zugriff erlangt werden könnte, daher sollte man das ausschalten.
    Wer alles verschiebt, ist noch lange nicht zukunftsorientiert. | Der Reiz der Ferne liegt nur in der Entfernung.

  3. #3
    Möchtegern Avatar von Anomander
    Registriert seit
    Nov 2004
    Beiträge
    496
    Das ist nur eine Warnung, dass ein Risiko besteht...

    Du kannst zum einen die OpenSSL-Version aktualisieren (ich hab hier z.B. 0.9.8d die ist schon von diesem September), aber ich denke, der eigentliche Grund für die "Vulnerability" liegt im zweiten Punkt:

    Da wird eigentlich nur gesagt, dass es mit deiner ssh_config möglich ist, sich als root anzumelden. Das sollte man eigentlich abschalten.
    Und es steht auch schon da, wie du das machen kannst:
    In der Datei
    Code:
    /etc/ssh/sshd_config
    den Eintrag
    Code:
    PermitRootLogin
    auf
    Code:
    No
    setzen....
    Erfahrung ist das, was man meint zu haben, bevor man mehr davon erwirbt.

  4. #4
    Registrierter Benutzer
    Registriert seit
    May 2003
    Beiträge
    303
    Danke!

    Nun bleibt nur noch die zuerstgenannte Meldung, also
    Application advisories

    - OpenSSL 0.9.7g [ Vulnerable ]
    Ich habe mal gegoogelt und folgendes zu der genannten OpenSSL Version hier gefunden:

    Liebe Kolleginnen und Kollegen,

    soeben erreichte uns nachfolgendes Advisory von Mandriva Security. Wir
    geben diese Informationen unveraendert an Sie weiter.

    CVE-2006-2937 - Schwachstelle beim Parsen von ASN.1 Strukturen in
    OpenSSL

    Beim Parsen von ASN.1 Strukturen mittels OpenSSL wird ein Fehler nicht
    korrekt behandelt. Dies kann dazu fuehren, dass das Programm in eine
    Endlosschleife eintritt (Denial of Service).

    CVE-2006-2940 - Schwachstelle beim Verarbeiten von Public Keys in
    OpenSSL

    Bei der Verarbeitung von oeffentlichen Schluesseln durch OpenSSL kann
    es dazu kommen, dass OpenSSL uebermaessig viel Rechenzeit in Anspruch
    nimmt. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um
    einen Denial of Service Angriff auf das System zu starten.

    CVE-2006-3738 - Buffer Overflow in Funktion SSL_get_shared_ciphers() in
    OpenSSL

    In OpenSSL wurde innerhalb der Funktion SSL_get_shared_ciphers() eine
    Schwachstelle entdeckt, durch die ein Buffer Overflow ausgeloest
    werden kann. Die Funktion dient dem Bilden einer Schnittmenge zwischen
    den vom Server und und vom Client unterstuetzten Ciphers. Ein
    Angreifer kann durch das Senden von manipulierten Daten den Buffer
    Overflow ausloesen und damit potentiell beliebige Befehle auf dem
    betroffenen System ausfuehren.

    Ob eine Anwendung von der Schwachstelle betroffen ist, haengt davon
    ab, ob sie die Funktion SSL_get_shared_ciphers() verwendet. Dies ist
    z.B. bei Exim, MySQL und openssl s_client / s_server der Fall.

    CVE-2006-4343 - Null Pointer Referenzierung in OpenSSL
    get_server_hello()

    Die OpenSSL Funktion get_server_hello() kann unter bestimmten
    Umstaenden einen Null Pointer dereferenzieren, wodurch die Anwendung
    abstuerzt. Dies ist z.B. im SSLv2 Client der Fall. Ein Angreifer kann
    diese Schwachstelle ueber einen manipuliteren SSL-Server zu einem
    Denial of Service Angriff ausnutzen.

    Betroffen sind die folgenden Software Pakete und Plattformen:
    .....
    Nun muß ich wohl warten, bis mein Distributor ein aktuelles OpenSSL Paket einpflegt.

  5. #5
    Klicki-Bunti Anhänger! Avatar von X-Dimension
    Registriert seit
    Sep 2002
    Beiträge
    2.364
    Was für Distribution hast du denn? Und von wann ist diese Sicherheitsmeldung?
    Mandriva hat am 8.11.2006 neue OpenSSH Pakete bereitgestellt. Ist das schon wieder eine neue Lücke, oder noch die alte?
    Mandriva Cooker
    ---
    pcdog: "Linux ist wie eine beziehung die man langsam aufbaut und windows ist wie der gang zu einer prostituierten"

  6. #6
    Registrierter Benutzer
    Registriert seit
    May 2003
    Beiträge
    303
    Die Meldung ist vom 4.10.06. Ich benutze PCLinuxOS, eine auf Mandriva basierende Distri. Es gab hier schon länger keine aktuallisierten Pakete mehr.

    Edit: Habe mal im englischsprachigen Forum von PCLinuxOS nachgeschaut. Dort wurde dieses Problem auch angesprochen, aber es scheint dort keine große Besorgnis auszulösen...
    Geändert von scorpius (01.01.07 um 22:16 Uhr)

  7. #7
    Roger Wilco
    Gast
    RKHunter beachtet nur die Version, aber nicht das Patchlevel. Eine andere Version von OpenSSL wirst du mit der gleichbleibenden Version deiner Distribution nicht bekommen...

  8. #8
    Registrierter Benutzer
    Registriert seit
    May 2003
    Beiträge
    303
    Zitat Zitat von Roger Wilco Beitrag anzeigen
    ... Eine andere Version von OpenSSL wirst du mit der gleichbleibenden Version deiner Distribution nicht bekommen...
    Wieso nicht?

  9. #9
    Roger Wilco
    Gast
    Weil das üblicherweise die Politik ist. Eine bestimmte Version des Pakets für eine bestimmte Version der Distribution. Sicherheitspatches werden zurückportiert und als neues Paket mit anderem Patchlevel veröffentlicht, solange die Distributionsversion unterstützt wird. Schau dir meinetwegen Debian, SuSE oder Redhat Linux an.

  10. #10
    Registrierter Benutzer
    Registriert seit
    May 2003
    Beiträge
    303
    Verstehe. Das heißt also, rkhunter kann sich "irren"? Wenn ja, wie kann ich das rausfinden?

  11. #11
    Roger Wilco
    Gast
    Indem du die Changelogs bzw. Releaseinformationen zu dem beanstandeten Paket durchliest. Die jeweils gefixten Sicherheitslöcher (bzw. deren CVE IDs) werd darin genannt.

  12. #12
    Registrierter Benutzer
    Registriert seit
    May 2003
    Beiträge
    303
    Zitat Zitat von Roger Wilco Beitrag anzeigen
    Indem du die Changelogs bzw. Releaseinformationen zu dem beanstandeten Paket durchliest. Die jeweils gefixten Sicherheitslöcher (bzw. deren CVE IDs) werd darin genannt.
    Wo bekomme ich die her? Immerhin, in den Infos die apt mir liefert, heißt die Version 0.9.7.g-4tex.
    Irgendwas hat sich also in der Tat getan. Aber was?

    Jedenfalls steht in Kürze eine neue Version von PCLOS an, mein kleines Problem wird also wohl bald obsolet.

  13. #13
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    21.428
    Die Infos findest Du auf der Homepage deines Distibutors oder in den Archiven der Security-Mailingliste...
    Ich bin root - ich darf das.

Ähnliche Themen

  1. modprobe/rmmod installieren?
    Von DeinHorst im Forum System installieren und konfigurieren
    Antworten: 10
    Letzter Beitrag: 31.07.06, 13:38
  2. Gajim : Ein mir nichtssagender Make-Fehler
    Von jonah im Forum Kompilieren von Kernel und Sourcen
    Antworten: 4
    Letzter Beitrag: 13.10.05, 19:23
  3. make bricht beim Kompilieren von gimageview-0.2.25 ab
    Von mmuellerss im Forum Kompilieren von Kernel und Sourcen
    Antworten: 0
    Letzter Beitrag: 08.06.04, 14:38
  4. Radeon 8500+Red Hat 9= ERROR
    Von Atrox im Forum X-Konfiguration
    Antworten: 2
    Letzter Beitrag: 09.03.04, 04:53
  5. gkrellm patches
    Von unix im Forum Kompilieren von Kernel und Sourcen
    Antworten: 2
    Letzter Beitrag: 30.01.04, 13:52

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •