Folgende Meldungen gab rkhunter bei mir aus:
undCode:Application advisories - OpenSSL 0.9.7g [ Vulnerable ]
Muß ich mir nun Sorgen machen? Was bedeuten diese Meldungen?Code:Security advisories * Check: SSH Searching for sshd_config... Found /etc/ssh/sshd_config Checking for allowed root login... Watch out Root login possible. Possible risk! info: PermitRootLogin yes Hint: See logfile for more information about this issue
Danke!
Hi,
bedeutet einfach, dass du dich direkt per ssh als root einloggen kannst. Das kannst du mit der Option "PermitRootLogin no" in der /etc/ssh/sshd_config ausschalten.
Das ist deshalb ein Risiko, weil mit Passwortattacken sofort root Zugriff erlangt werden könnte, daher sollte man das ausschalten.
Wer alles verschiebt, ist noch lange nicht zukunftsorientiert. | Der Reiz der Ferne liegt nur in der Entfernung.
Das ist nur eine Warnung, dass ein Risiko besteht...
Du kannst zum einen die OpenSSL-Version aktualisieren (ich hab hier z.B. 0.9.8d die ist schon von diesem September), aber ich denke, der eigentliche Grund für die "Vulnerability" liegt im zweiten Punkt:
Da wird eigentlich nur gesagt, dass es mit deiner ssh_config möglich ist, sich als root anzumelden. Das sollte man eigentlich abschalten.
Und es steht auch schon da, wie du das machen kannst:
In der Dateiden EintragCode:/etc/ssh/sshd_configaufCode:PermitRootLoginsetzen....Code:No
Erfahrung ist das, was man meint zu haben, bevor man mehr davon erwirbt.
Danke!
Nun bleibt nur noch die zuerstgenannte Meldung, also
Ich habe mal gegoogelt und folgendes zu der genannten OpenSSL Version hier gefunden:Application advisories
- OpenSSL 0.9.7g [ Vulnerable ]
Nun muß ich wohl warten, bis mein Distributor ein aktuelles OpenSSL Paket einpflegt.Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Advisory von Mandriva Security. Wir
geben diese Informationen unveraendert an Sie weiter.
CVE-2006-2937 - Schwachstelle beim Parsen von ASN.1 Strukturen in
OpenSSL
Beim Parsen von ASN.1 Strukturen mittels OpenSSL wird ein Fehler nicht
korrekt behandelt. Dies kann dazu fuehren, dass das Programm in eine
Endlosschleife eintritt (Denial of Service).
CVE-2006-2940 - Schwachstelle beim Verarbeiten von Public Keys in
OpenSSL
Bei der Verarbeitung von oeffentlichen Schluesseln durch OpenSSL kann
es dazu kommen, dass OpenSSL uebermaessig viel Rechenzeit in Anspruch
nimmt. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um
einen Denial of Service Angriff auf das System zu starten.
CVE-2006-3738 - Buffer Overflow in Funktion SSL_get_shared_ciphers() in
OpenSSL
In OpenSSL wurde innerhalb der Funktion SSL_get_shared_ciphers() eine
Schwachstelle entdeckt, durch die ein Buffer Overflow ausgeloest
werden kann. Die Funktion dient dem Bilden einer Schnittmenge zwischen
den vom Server und und vom Client unterstuetzten Ciphers. Ein
Angreifer kann durch das Senden von manipulierten Daten den Buffer
Overflow ausloesen und damit potentiell beliebige Befehle auf dem
betroffenen System ausfuehren.
Ob eine Anwendung von der Schwachstelle betroffen ist, haengt davon
ab, ob sie die Funktion SSL_get_shared_ciphers() verwendet. Dies ist
z.B. bei Exim, MySQL und openssl s_client / s_server der Fall.
CVE-2006-4343 - Null Pointer Referenzierung in OpenSSL
get_server_hello()
Die OpenSSL Funktion get_server_hello() kann unter bestimmten
Umstaenden einen Null Pointer dereferenzieren, wodurch die Anwendung
abstuerzt. Dies ist z.B. im SSLv2 Client der Fall. Ein Angreifer kann
diese Schwachstelle ueber einen manipuliteren SSL-Server zu einem
Denial of Service Angriff ausnutzen.
Betroffen sind die folgenden Software Pakete und Plattformen:
.....
Was für Distribution hast du denn? Und von wann ist diese Sicherheitsmeldung?
Mandriva hat am 8.11.2006 neue OpenSSH Pakete bereitgestellt. Ist das schon wieder eine neue Lücke, oder noch die alte?
Mandriva Cooker
---
pcdog: "Linux ist wie eine beziehung die man langsam aufbaut und windows ist wie der gang zu einer prostituierten"
Die Meldung ist vom 4.10.06. Ich benutze PCLinuxOS, eine auf Mandriva basierende Distri. Es gab hier schon länger keine aktuallisierten Pakete mehr.
Edit: Habe mal im englischsprachigen Forum von PCLinuxOS nachgeschaut. Dort wurde dieses Problem auch angesprochen, aber es scheint dort keine große Besorgnis auszulösen...
Geändert von scorpius (01.01.07 um 22:16 Uhr)
RKHunter beachtet nur die Version, aber nicht das Patchlevel. Eine andere Version von OpenSSL wirst du mit der gleichbleibenden Version deiner Distribution nicht bekommen...
Wieso nicht?Zitat von Roger Wilco
Weil das üblicherweise die Politik ist. Eine bestimmte Version des Pakets für eine bestimmte Version der Distribution. Sicherheitspatches werden zurückportiert und als neues Paket mit anderem Patchlevel veröffentlicht, solange die Distributionsversion unterstützt wird. Schau dir meinetwegen Debian, SuSE oder Redhat Linux an.
Verstehe. Das heißt also, rkhunter kann sich "irren"? Wenn ja, wie kann ich das rausfinden?
Indem du die Changelogs bzw. Releaseinformationen zu dem beanstandeten Paket durchliest. Die jeweils gefixten Sicherheitslöcher (bzw. deren CVE IDs) werd darin genannt.
Wo bekomme ich die her? Immerhin, in den Infos die apt mir liefert, heißt die Version 0.9.7.g-4tex.
Irgendwas hat sich also in der Tat getan. Aber was?
Jedenfalls steht in Kürze eine neue Version von PCLOS an, mein kleines Problem wird also wohl bald obsolet.
Die Infos findest Du auf der Homepage deines Distibutors oder in den Archiven der Security-Mailingliste...
Ich bin root - ich darf das.
Berechtigungen
Zitieren
Lesezeichen