Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
Posible troyano en OpenSSH

Seguridad
Por jcantero
departamento illionitas , Sección Software Libre
Puesto a las Thu Aug 1st, 2002 at 08:14:37 PM CET
Leido en Slashdot. Hay serios rumores no confirmados de un posible troyano en el tarball de OpenSSH 3.4p1 de ftp.openbsd.org. Esto podría afectar a las versiones Linux que suelen cogerlo de ahí. En principio se habla de que sólo sucede en tiempo de compilación, pero si se ha violado la seguridad una vez, puede hacerse más veces hasta que no se averigüe que está pasando. Así que permanezcamos atentos. ¿Alguien ha probado algo de esto? ¿Lo puede confirmar o desmentir?

Update [2002-8-1 20:47:8 by jcantero]: Se ha confirmado el troyano. Leed los comentarios, por favor.

 


Lo que le faltaba a OpenSSH después del lío de las últimas semanas con la versión 3.3, la 3.4, el irresponsible disclosure y demás gaitas.
< Fallos de seguridad en super y gallery (0 comments) | LWN podría continuar (2 comments) >
Enlaces Relacionados
· Slashdot
· Slashdot[2]
· OpenSSH
· ftp.openbsd.org
· More on Seguridad
· Also by jcantero

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
Posible troyano en OpenSSH | 12 comentarios (12 temáticos, editoriales, 0 ocultos)
Confirmado (5.00 / 1) (#1)
por Haze a las Thu Aug 1st, 2002 at 07:29:05 PM CET
(Información Usuario)

Lo acaban de confirmar en la lista de correo.
Al parecer el paquete troyanizado fue introducido entre el 30 y el 31 en el ftp de OpenBSD, cualquiera que tenga una versión procedente de ahi de esas fechas puede ser vulnerable.

1. Systems affected:

OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the
OpenBSD ftp server and potentially propagated via the normal mirroring
process to other ftp servers. The code was inserted some time between
the 30th and 31th of July. We replaced the trojaned files with their
originals at 7AM MDT, August 1st.

Al parecer el atacante consigue acceso a la máquina con los privilejios del que compilo el paquete. Parece que traerá historia, que Theo de Raadt tiene tendencia a mosquearse cuando le atacan el sistema con éxito :)



Pos yale vale (2.50 / 2) (#2)
por sinner a las Thu Aug 1st, 2002 at 10:52:04 PM CET
(Información Usuario) http://www.escomposlinux.org/sinner/

Pues ya le vale al Theo por ser un poco chuloputas (con perdon).

Si fuera un poco menos orgulloso, igual no le pasaban estas cosas.

Te da cuennnn? Si eres amable, las cosas van mejor y no te creas enemigos.


--
Sinner from the Prairy
Pogüered bai Mandrake
BOFHers Syndicate http://bofhers.org
[ Padre ]


Re: pos yale vale (3.00 / 1) (#9)
por iarenaza a las Fri Aug 2nd, 2002 at 04:09:11 PM CET
(Información Usuario) http://www.escomposlinux.org/

Estoooo, Sinner, macho, tiron de orejas por el comentario. Este tipo de comentarios inflamatorios no tienen cabida en Libertonia.

Pido perdon al resto del foro por no tirar de las orejas antes a Sinner y si hacerlo a Haze. Creo que hacen falta dos para bailar el tango.

Saludos. Iñaki.

[ Padre ]


 
Vale... (1.00 / 2) (#3)
por Haze a las Thu Aug 1st, 2002 at 11:38:42 PM CET
(Información Usuario)

Sera lo chuloputas que quieras (que en mi tierra no es lo mismo que chulo a secas), ni lo se ni me importa, pero este tio ha estado manteniendo una distro de BSD que ha aguantado mas de cinco años sin un solo agujero, igual a los mandrakeros no es un tema que os importe mucho, de hecho ni debiais existir hace cinco años, pero pa mi que ha desmotrado tenerlos cuadrados.


[ Padre ]


Sobre distros seguras, Theo de Raadt y Libertonia (5.00 / 1) (#7)
por iarenaza a las Fri Aug 2nd, 2002 at 11:53:09 AM CET
(Información Usuario) http://www.escomposlinux.org/

Algunos comentarios al respecto.

  1. No es lo mismo una distro como OpenBSD que (la inmensa mayoria) de las distros de Linux. Una distro OpenBSD tiene cuatro cosillas en la instalacion completa (es poco mas o menos lo que en Debian se llama la instalacion "base"). Apenas tienes servicios (correo y poco mas) y lo minimo de X Windows (bibliotecas, el servidor X dos chorradas mas). El resto son lo que llaman los ports y no son parte de la distribucion, y por tanto, nuestro amigo Theo de Raadt no los cuenta a la hora de hacer numeros de bugs, exploits y demas.

    Comparar eso con cualquier instalacion de una distro linux habitual es comparar peras con manzanas. Simplemente no es lo mismo. Si hay un bug en el Bitchx (por poner un ejemplo) que permite acceso remoto a root, en cualquier distro linux se contara como un exploit remoto, mientras que en *BSD no, al no ser parte de la distro en si.
  2. Theo de Raadt es un tio muy valido y con una vision muy clara de como deben hacerse las cosas en lo tocante a la seguridad.

    Pero al igual de Dan Bernstein (IMHO) es demasiado orgulloso para reconocer ciertas cosas, pedir disculpas y seguir adelante. Eso no crea precisamente buen ambiente y hace que todo el que ha recibido sus iras, en cuanto tenga la mas minima oportunidad, le devuelva la jugada. Y eso no es bueno cuando uno se dedica a desarrollar software seguro o con fuertes implicaciones de segurdidad. Al menos, yo lo veo asi.
  3. ...igual a los mandrakeros no es un tema que os importe mucho, de hecho ni debiais existir hace cinco años...
    A este tipo de comentarios es a lo que se refiere ese pequeño aviso que aparece cuando vas a enviar noticias o comentarios. Esto se considera un comentario inflamatorio o trollero, y ha faltado un tris para ser borrado sin pidedad.

    El hecho de haber rectificado rapidamente en tu siguiente comentario es lo que ha evitado que se borre. Pero si este comentario recibe una sola respuesta en esta misma linea, todo el hilo desaparecera misteriosamente sin dejar rastro. Los administradores del sitio queremos ser muy claros en este sentido.
Saludos. Iñaki.

[ Padre ]


Entonando el Mea Culpa (3.00 / 1) (#8)
por Haze a las Fri Aug 2nd, 2002 at 02:55:30 PM CET
(Información Usuario)

Tienes bastante razon, y estaria de acuerdo en el borrado de los mensajes si este se produjera. De hecho, como has comentado, ante la imposibilidad de borrarlo yo mismo procure enmendarlo asi como pude. Queria dejar constancia que no es mi forma de ser el flamear en los foros.
Por otra parte, soy usuario de la unica major que mantiene estructura y arranque BSD, y por afinidad siempre he seguido mas de cerca los BSDs que los Debian/RedHat, y me choco que a un comentario mio en el que no habia lenguaje soez, que intentaba aportar algo y que simplemente hacia un comentario bienintencionado sobre un rasgo de caracter de Theo, contestase alguien en los terminos y la forma que lo hizo, y mas siendo usuario del sumum del alejamiento de Linux de las especificaciones y la filosofia BSD. ¿Que el troll es mio por haberle seguido el juego? pues no lo discuto.
Ahora, visto que los chichopos estais encima y dais el toque cuando corresponde, me contendre antes de replicar a segun que y esperare a que seais vosotros los que pongais orden, por el bien de la pagina, que todo sea dicho me gusta mucho y apoyo la mano dura para evitar que se salga de madre.
Un saludo.

[ Padre ]


 
msec to the rescue (4.00 / 1) (#4)
por luca a las Thu Aug 1st, 2002 at 11:57:46 PM CET
(Información Usuario)

igual a los mandrakeros no es un tema que os importe mucho

Cierto, msec lo hubiese detectado enseguida ;-)

[ Padre ]


 
Sí, es de gran valía técnica (4.00 / 1) (#10)
por Draco a las Fri Aug 2nd, 2002 at 06:14:47 PM CET
(Información Usuario)

pero esto no quita para que no sea un .... estooo ¿se pueden decir tacos aquí?. Dejémoslo en arrogante. Tan arrogante es que hasta hace poco en las listas de correo y máquinas de NetBSD "hacían el vacío" de todo lo que viniera de openbsd.org, debido a que el señor De Raadt amenazó con atacar las máquinas del proyecto NetBSD.
Aquí podéis ver cómo se las gasta el señor De Raadt.

Por otra parte aclarar que la máquina en la estaba la versión troyanizada no corre OpenBSD sino SunOS(lo dice en la propia FAQ de OpenBSD).
There are two major products to come out of Berkeley: LSD & BSD Unix. I don't believe this to be a coincidence.
[ Padre ]


Es una larga historia (4.00 / 1) (#11)
por gustavoCR a las Fri Aug 2nd, 2002 at 10:39:07 PM CET
(Información Usuario)

En realidad todo esto se remonta a las "guerras" dentro de NetBSD, y parece que desde esa época se arrastra todo, si te fijas la historia se remonta al año 1996. Y no se pueden sacar conclusiones precipitadas, porque hubieron palabras duras por todos lados.

Si a alguien le interesa seguir toda la pelea está aqui:

http://www.theos.com/deraadt/coremail.html

Es la pagina de Teho De Raadt, pero supongo que no habrá tocado los correos, y cada cual que saque sus conclusiones, pero lo que si hicieron los de NetBSD fue "ningunearlo" bastante, aunque eso si la bronca parece que empezó porque De Raadt, contesto "malamente" a otro desarrollador en un correo :-)

Si te fijas, los protagonistas en el enlace que tu das, son los mismos que participaron en la bronca del enlace que puse más arriba.

[ Padre ]


 
Confirmado... (3.50 / 2) (#5)
por Haze a las Fri Aug 2nd, 2002 at 12:36:17 AM CET
(Información Usuario)

Mandrake se creo en noviembre del 98, o al menos se conocieron sus creadores en esa fecha segun reza su web, asi que Theo llevaba cosa de un añito con su BSD... de todas formas tampoco me quiero meter con nadie, la gente es igual de libre de usar Mandrake o de usar Windows, pero no os metais con los que mantienen un Unix serio hombre.
Por otra parte, acabo de fijarme en mi primer comentario, y os juro que lo de "privilejios" ha sido un typo inintencionado, en serio, que se me ha quedado cara tonto cuando lo he leido O:)

Volviendo al on-topic, parece que es el unico paquete afectado, y por lo que se ve la IP a la que se abre shell con el troyano,203.62.158.32, parece que es un freeBSD con una version de Apache con problemas de seguridad, asi que me puedo imaginar el destripe del que ha sido objeto...
Bueno, los que tengan una version de openSSL muy reciente, la firma del original (MD5) es:
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a

el de la troyanizada es:
MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57

Un saludo.

[ Padre ]


 
Parece que está de moda (none / 0) (#6)
por aktin0s a las Fri Aug 2nd, 2002 at 12:48:54 AM CET
(Información Usuario)

Pues desgraciadamente parece que ahora se lleva ésto de modificar el código de algunos programas supuestos seguros, directamente en sus sitios de descarga "oficiales".

Antes fueron los clientes de IRC BitchX e irssi, y ahora OpenSSH. ¿Cuál será el siguiente?



soft propietario (none / 0) (#12)
por musg0 a las Sat Aug 3rd, 2002 at 12:33:45 PM CET
(Información Usuario) http://helvete.escomposlinux.org

¿Nos enteraríamos si hicieran lo mismo en software propietario?

Si consigue algún betatester o alguien con acceso a las fuentes meter un troyano de esos "por si me echan" o "para cuando me apetezca reirme"

¿sacarían un parche que supuestamente arreglaría otra cosa para parchearnos este fallo de seguridad?

¿Ha pasado alguna vez y no nos hemos enterado?

[ Padre ]


 
Posible troyano en OpenSSH | 12 comentarios (12 temáticos, editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda