Fórum Ubuntu CZ/SK
Ostatní => Otevřená diskuze kolem Linuxu a OSS => Téma založeno: menganito 26 Května 2008, 13:29:15
-
http://technet.idnes.cz/kriticka-chyba-dva-roky-byly-vase-zabezpecene-komunikace-nezabezpecene-1nf-/software.asp?c=A080526_070312_software_vse
Vie niekto viac? Mám sa s tým trápiť, ohrozuje ma to?
Alebo je to nie nebezpečná chyba, ktorú nafúkli (predsa len, iDnes má rád MS...)
-
nevim jak moc je nebezpeřná, ale každopádně už je aspoň týden známá, už tuším byla i aktualizace...
-
jj, to uz je stare, a riesi sa to uz aj tu:
https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/230197
-
Myslí, že to je docela rána pro Ubuntu, Debian i Linux obecně. Vždy se hovořilo o vyšší bezpečnosti oproti "děravým windows", teď už to tak suverenně trvdit nikdonemůže.
-
EuGenio: presne to ma na tom dosť rozčúlilo - v krátkom čase druhá vážna(?) chyba... Dosť to kazí image "bezpečného" OS.
-
tak tak , suhlasim, ja som v piatok upgradoval v praci na HH, a kedze aktivne vyuzivam rozne spojenia na ine pocitace ci servre, tak som mal na ploche linky na tie masiny. a hned boli v prdeli, k comu som zistil min. dalsie dva bugy ktore uz boli zaznamenane:
https://bugs.launchpad.net/ubuntu/+source/nautilus/+bug/216104
https://bugs.launchpad.net/ubuntu/+source/gvfs/+bug/207072
tymto ma docela dost nahnevali, kedze sa o tom vedelo uz aj v testovacich verziach, a oni to este slahli do ostreho releasu? no fakt ma dost napalili.
-
ja by som to az tak cierno nevidel...
vsade su chyby s tym clovek nic nespravi, ale je len dobre ze sa na ne pride a opravia sa
-
viz. http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debianu/ (12 dni stare)
zvlastni, ze se o tom zacalo mluvit az ted...zeby tolik lidi cerpalo od mistra? :D
-
ja bych z toho nedelal tragedii. rozhodne to nezni jako rajska hudba tato informace ale jinak plati co rek rucnicek. kazdy software ma chyby. jenom abyste meli prehled. v microsoftu plati interni smernice ktera uzmoznuje beta versi operacniho systemu vydat teprve co obsahuje "jenom" 500 zaznamenanych chyb. cili kdyz se vyvijeli visty, tak meli treba 1200 podchycenych chyb ale nemohli ten system vydat dokud to nesnizili na 500 chyb, proto se vydani systemu porad odkladalo.
-
Myslí, že to je docela rána pro Ubuntu, Debian i Linux obecně. Vždy se hovořilo o vyšší bezpečnosti oproti "děravým windows", teď už to tak suverenně trvdit nikdonemůže.
To že je něco víc bezpečné neznamená, že to je absolutně bezpečné. V žádném případě to není první ani poslední bezpečnostní chyba linuxu (byť tato se týkala jen debianích klonů, protože ji stvořili vývojáři debianu). Myslím, že argumentace o vyšší bezpečnosti není o tom, že je linux bez chyb, ale o tom, že jeho systém opravy chyb je pružnější, lepší a transparentnější než u windows (opensource - každý kdo chce ví na čem je x proprietální windows - když budeme chtít, tak vám o chybě alespoň povíme, když nebudeme, máte smůlu). Rozumný člověk si toho je vědom, ti ostatní čerpají z iDnes :)
-
a k tvoji otazce jestli te to muze ohrozit tak si myslim ze nemuze. nemuze proto protoze jako beznyho uzivatele se te tato chyba nedotkla a ikdyby ti bezel nekde treba server a ty se k nemu pripojoval pres SSH a pouzival by si nejakej ten slabej klic kterej vznikl diky teto chybe tak me opravte ale i tak te to ohrozit nemuze. protoze aby nekdo zjistil ten klic to by musel odposlouchavat nejdriv pakety na tvym pc, a paklize nekdo odposlouchava pakety na tvym pc tak si uz napadenej ted nehlede na to jestli je nekde nejaka chyba nebo ne co se tyce SSL nebo SSH.
-
a k tvoji otazce jestli te to muze ohrozit tak si myslim ze nemuze. nemuze proto protoze jako beznyho uzivatele se te tato chyba nedotkla a ikdyby ti bezel nekde treba server a ty se k nemu pripojoval pres SSH a pouzival by si nejakej ten slabej klic kterej vznikl diky teto chybe tak me opravte ale i tak te to ohrozit nemuze. protoze aby nekdo zjistil ten klic to by musel odposlouchavat nejdriv pakety na tvym pc, a paklize nekdo odposlouchava pakety na tvym pc tak si uz napadenej ted nehlede na to jestli je nekde nejaka chyba nebo ne co se tyce SSL nebo SSH.
Tak teď přemýšlím, k čemu že to SSL a SSH vlastně máme ;-)
Samozřejmě, že je třeba se obávat... Třeba z pohledu běženého uživatele, který používá jen "blbý" internetový bankovnictví. Přihlásí se, posílá si vesele po síti informace (protokol https) a nějaký MITM (Man-in-the-middle) je v klidu rozkódovává, vč. přihlašovacího jména a hesla..nevím, mě by to možná vadilo, i když se mi tam hemží jen tisícovky..
to co napsal rADo je pravda..jen to napsal zas trochu přehnaně, ale to je holt jeho styl :)
-
Na lzive.cz taky zase perlili...
btw: Uz je to pres tyden stare, tak proc to vytahujou az ted? Ted kdyz uz je vsechno opraveno....
-
jj, no je legracni, kolik se najednou vyrojilo adminu-expertu na kryptografii :)
-
Ja bych to zbytecne nedramatizovasl, je sice blby, ze takova dira muze vesele existovat bez povsimnuti dva roky, ale podstatny je, ze se k tomu vyvojari postavili celem, opravili to a priznali.
Spis mne zarazil ten casovej odstup, kdy se to zjistilo a kdy se tim tim zacla zabyvat media a to vcetne vsech zahranicnich - viz. treba http://www.dailytech.com/Huge+Hole+in+Open+Source+Software+Found+Leaves+Millions+Vulnerable/article11869.htm . O lochne se vi od 13. kvetna a pisalkove si na tom honeji triko az od 23. kvetna. 10 dnu tutlani?
I kdyz mozna je lepsi nejdriv prusvih zaflastrovat a pak to oznamit - proc zbytecne davat kdejakymu vymastenymu pubescentovi navod, jak snadno hacknout masinu s debianem, ze?
-
systém opravy chyb je pružnější
to bych zrovna ted moc nevytahoval. pry tam ta chyba byla pekne dlouhou dobu... je pravda, ze od obeveni chyby uz je to otazka hodin, max nekolika malo dnu do opraveni
-
proc zbytecne davat kdejakymu vymastenymu pubescentovi navod, jak snadno hacknout masinu s debianem, ze?
dal by si mi prosim te konkretni priklad jak chces diky tomu hacknout masinu s debianem? protoze ja myslim ze to s hackovanim masiny s debianem vubec nesouvisi. souvisi to maximalne s tim ze kdyz nekdo odposlouchava komunikaci tak je schopny ji desifrovat. ale nema to co delat s hackovanim masin.
-
proc zbytecne davat kdejakymu vymastenymu pubescentovi navod, jak snadno hacknout masinu s debianem, ze?
dal by si mi prosim te konkretni priklad jak chces diky tomu hacknout masinu s debianem? protoze ja myslim ze to s hackovanim masiny s debianem vubec nesouvisi. souvisi to maximalne s tim ze kdyz nekdo odposlouchava komunikaci tak je schopny ji desifrovat. ale nema to co delat s hackovanim masin.
Jo? a jak se teda podle tebe hakujou servery? Bud to zajisti nejakej password_cracker - to v pripade, ze treba na masine, ktera se hlasi jako nejaky_jmeno ma stejnyho uzivatele s passwordem "12345" nebo rovnou taky nejaky "nejaky_jmeno" ;D.
A nebo pak prave odposlouchanim komunikace mezi lokalem uzivatele, ci spravce se serverem po (ne)zabezpecenym protokole.
I kdyz je faskt, ze s opravdovym hackovanim to moc nesouvisi, to patri skutecne spis k zabavam pubertaku.
-
Přihlásí se, posílá si vesele po síti informace (protokol https) a nějaký MITM (Man-in-the-middle) je v klidu rozkódovává, vč. přihlašovacího jména a hesla..nevím, mě by to možná vadilo, i když se mi tam hemží jen tisícovky..
Vytrženo z diskuze : http://www.zive.cz/Bleskovky/Miliony-open-source-operacnich-systemu-postizeny-bezpecnostni-chybou/sc-4-sr-1-a-141925/default.aspx?forum
6. Moje bankove konto je v pr....
- Uplna chobotina. Banky nepouzivaju OpenSSL na generovanie klucov. Rovnako nepouzivaju ziadne linuxove distro out-of-the-box.
7. Toto je strasna IT tragedia, vacsia nez Cernobyl.
- Uplna chobotina. Debian ma pod 3% serveroveho trhu.
-
Hackeři tu chybu dokážou najít a opravit bo nahlásit. Zneužijí jenom debilové... ;)
-
Hackeři tu chybu dokážou najít a opravit bo nahlásit. Zneužijí jenom debilové... ;)
No prave :)
-
podivej ja si klidne nainstaluju na server teda debian, reknu ti ip, nainstaluji si tam ten slabej certifikat a stejne mi to nehacknes. a klidne ti reknu heslo roota a ani to ti nepomuze. proc? protoze si nastavim spravu jen z my ip adresy. a pokud jde o ten druhy pripad ze ti nekdo nainstaluje na local odposlouchavani packetu tak uz pro nej neni problem udelat cokoliv jineho odposlouchavani klaves, takze ti ukradne vsechny hesla a to uz moc nema spolecnyho s puvodnim nedostatkem :)
predstav si ze nekde v australii tedka bezi server ktery pouziva ty slaby certifikaty a k cemu ti to je ta informace? dokud se nedostanes k jeho komunikaci tak ti to vubec neni platny tohle.
-
podivej ja si klidne nainstaluju na server teda debian, reknu ti ip, nainstaluji si tam ten slabej certifikat a stejne mi to nehacknes. a klidne ti reknu heslo roota a ani to ti nepomuze. proc? protoze si nastavim spravu jen z my ip adresy. a pokud jde o ten druhy pripad ze ti nekdo nainstaluje na local odposlouchavani packetu tak uz pro nej neni problem udelat cokoliv jineho odposlouchavani klaves, takze ti ukradne vsechny hesla a to uz moc nema spolecnyho s puvodnim nedostatkem :)
predstav si ze nekde v australii tedka bezi server ktery pouziva ty slaby certifikaty a k cemu ti to je ta informace? dokud se nedostanes k jeho komunikaci tak ti to vubec neni platny tohle.
Vis Luki, nic ve zlaym, ale ty mas jeden problem, ty totiz musis kazdyho chytat za slovicko a protoze mas nejspis od vseho klice, musis mit taky vzdycky posledni slovo s cervenou pastelkou v ruce... ;)
Nejses nahodou ucitel? ;D
Takze abych to uzavrel, pac to nikam nevede:
Puvodne jsem psal, ze vyvojari nejdriv opravili douru a az posleze vec dali ve znamost, coz chapu, protoze proc davad blbcum navod jak (a tady jsem mel napsat "to zneuzit").... a psal jsem, ze mne zarazi tech 10 dnu - to je dost dlouha doba...
Napsal jsem, co jsem napsal a trvam si na tom, i kdyz uznavam, ze ssh ve spojeni s primitivnim hackingem neni nejvetsi potencialni nebezpeci v souvislosti s touhle kauzou. Nicmene uz to nehodlam dale pitvat. Kdo chtel, tak to pochopil spravne.
-
Hulan sa uz tiez vyjadril, toto on potreboval :D
-
dyt ja nic nezazlivam.. jestli se divis tomu ze se vystavujou navody tak to je bezna praxe. proste se objevi chyba ktera se zdokumentuje delalo se to tak vzdy a stale se to dela. ja te nechytal za slovicko jenom jsem cekal ze vysypes z rukavu nejakej navod a ja se priucim v opacnem pripade si me ujistil a mozna nektery lidi okolo ze se neni ceho bat protoze realny riziko nehrozi. zatim sme se shodli na tom ze riziko nastane jen v pripade lokalniho utoku :)
napriklad hulan placa na svym webu neco o 30 000 kombinaci hesla a prolomeni SSH a pritom zamerne zatajuje informaci ze kazdej admin si nastavi server tak aby sel spravovat jen z urcity ip nebo tam ma blokovani spatnych pokusu.
-
Hulan sa uz tiez vyjadril, toto on potreboval :D
Já se tam doklikl nechtěně >:( a doufám, že se mi nic takového zase dlouho nestane!
-
OMG, taký flame som nečakal :D
Že to je stará chyba som nevedel, rss síce odoberám aj od rootovcov ale len zbežne ho pozerám, na na idnes sa pozerám viac :-[
A že vypukol flame ma mrzí, netušil som že sa to tak zvrhne :(
-
napriklad hulan placa na svym webu neco o 30 000 kombinaci hesla a prolomeni SSH a pritom zamerne zatajuje informaci ze kazdej admin si nastavi server tak aby sel spravovat jen z urcity ip nebo tam ma blokovani spatnych pokusu.
Jo, ale smutny je, ze mu to spoustu inteligentnich lidi zere. Vcera mi psal vydesenej kamarad, ze jestli mam servery na Ubuntu nebo Debianu, tak jsem teda urcite pekne v p*deli... ze to cet u H. na blogu ;D
A nejhorsi je, ze i kdyz si pak precetl nekolik clanku na tohle tema ze serioznich zahranicnich zdroju, stejne uz v nem zustal pocit, ze ta bezpecnost linuxu ala debian neni nic moc.
Moznosti, jak zneprustrelnit server je hodne. Na primitivy treba staci jenom smejknout SSHcko ta jinej port (coz ale s timhe problemem nesouvisi - to jenom abys mne zas nepeskoval ;))
-
A že vypukol flame ma mrzí, netušil som že sa to tak zvrhne :(
Proc hned flame? Jenom si tak blabolime, to se snaad v Obecny diskusi muze, ne? ;D
-
Moznosti, jak zneprustrelnit server je hodne. Na primitivy treba staci jenom smejknout SSHcko ta jinej port (coz ale s timhe problemem nesouvisi - to jenom abys mne zas nepeskoval ;))
no ja se omlouvam jestli sem pusobil nak spatne mozna sem se trochu vic do toho zazral :) kazdopadne vecna diskuze neni na skodu kdyz to tema chyba v openssl nekdo otevre tak si aspon neco precte treba .
-
no ja se omlouvam jestli sem pusobil nak spatne mozna sem se trochu vic do toho zazral :)
To si tak neber, ja zese obcas rychleji pisu, nez premejslim - to mam od svoji drahy polovicky, ta takhle mluvi ;D
-
ja taky :)