wiki:bug_OpenSSH

BUG OPENSSH - POSSIBILE SOLUZIONE

Negli scorsi giorni sono emersi gravi problemi di sicurezza relativi al demone Secure Shell OpenSSH.

l bug scoperto in OpenSSH riguarda tutte le versioni del software precedenti alla 3.7.1 che può essere sfruttato da un aggressore per attacchi di tipo denial of service. La falla potrebbe anche consentire l'esecuzione di codice e l'elevazione dei privilegi a root.
Per risolvere il problema:

LATO SERVER:

  1. lanciare sul server scolastico:
    apt-get dist-upgrade
    
    (viene sforzato l'aggiornamento dei pacchetti)

  2. rimuovere dalla cartella /root/.ssh/ il file id_dsa ed il file id_dsa.pub
    cd /root/.ssh/
    rm id_dsa*
    


  1. lanciando il comando: ssh-vulnkey -a vengono elencate tutte le chiavi con relativa segnalazione (esempio):
    Not blacklisted: 2048 f2:82:25:... /etc/ssh/ssh_host_rsa_key.pub
    Not blacklisted: 1024 ba:f5:80:... /etc/ssh/ssh_host_dsa_key.pub
    COMPROMISED: 1024 44:cb:2c:12:b5:... /root/.ssh/id_dsa.pub


  1. per rigenerare la chiave lanciamo il seguente comando:
    ssh-keygen -t dsa
    Generating public/private dsa key pair.
    Enter file in which to save the key (/root/.ssh/id_dsa):    --> DA LASCIARE VUOTO
    Enter passphrase (empty for no passphrase):                 --> DA LASCIARE VUOTO
    Enter same passphrase again:                                --> DA LASCIARE VUOTO
    Your identification has been saved in /root/.ssh/id_dsa.
    Your public key has been saved in /root/.ssh/id_dsa.pub.
    The key fingerprint is:
    96:3b:8e:... root@server
    


  1. copiare la chiave appena creata in /var/www/fuss-data-conf/
    rm /var/www/fuss-data-conf/id_dsa.pub
    cp /root/.ssh/id_dsa.pub /var/www/fuss-data-conf/
    



LATO CLIENT:

  1. fuss-client -r
  2. prima di riagganciarlo al dominio rimuovere il file .ssh/authorized_keys ed anche .ssh/known_hosts
  3. fuss-client -a



PASSI FINALI

  1. quando tutti i client sono stati aggiornati e riagganciati al dominio rimuovere il file .ssh/known_host sul server
  2. ricordarsi di eliminare i file .ssh/known_host nelle home di tutti gli utenti che per qualche motivo dovono eseguire dei programmi via ssh sul server
    (p.e. localadmin per octofuss, attivazione linea internet, se linea particolare come ISDN, ...)



Fatto questo la nostra rete è nuovamente protetta :)

Last modified 9 years ago Last modified on Jun 19, 2008, 11:22:10 AM