The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Во FreeBSD устранена серьезная уязвимость в libcrypt"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от opennews (ok) on 30-Май-12, 21:53 
Во FreeBSD обнаружена проблема с хэшированием паролей с использованием стандартной функции crypt(3). Ошибка в реализации алгоритма хэширования DES, расширенного дополнительными элементами для затруднения подбора созданных хэшей, привела к тому, что в ситуации, когда в поступающем вводе встречается символ с кодом 0x80, этот символ и все идущие за ним символы игнорируются. Проблема проявляется только для систем и приложений, использующих алгоритм DES через функцию crypt(). Уязвимости подвержены все поддерживаемые ветки FreeBSD. Проблема устранена в обновлениях 7.4-STABLE, 7.4-RELEASE-p8, 8.3-STABLE, 8.3-RELEASE-p2, 8.2-RELEASE-p8, 8.1-RELEASE-p10, 9.0-STABLE и 9.0-RELEASE-p2. Кроме проблемы с libcrypt в данных обновлениях также устранено 5 уязвимостей во входящем в базовую систему пакете OpenSSL.


URL: http://lists.freebsd.org/pipermail/freebsd-announce/2012-May...
Новость: http://www.opennet.ru/opennews/art.shtml?num=33970

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от evgeny_t (ok) on 30-Май-12, 21:53 
а как они обновят ? у текущих пользователей пароль уже захеширован )
хотя кто использует русские буквы
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от pavlinux (ok) on 30-Май-12, 22:20 
А что, Blowfish там никак низя?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от XoRe (ok) on 30-Май-12, 22:37 
> А что, Blowfish там никак низя?!

Можно.
Если не ошибаюсь, в /etc/login.conf настраивается.
Но изкоробки - вроде DES.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +1 +/
Сообщение от oxyum (ok) on 30-Май-12, 22:39 
Где-то уже я читал о подобной уязвимости в паролях с символами старше 0x7F... вот только не могу вспомнить где... кажись с год-два назад было.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Аноним (??) on 30-Май-12, 23:08 
http://www.opennet.ru/opennews/art.shtml?num=30953
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +3 +/
Сообщение от iZEN (ok) on 31-Май-12, 00:03 
Никогда не использовал пароли с символами национального алфавита.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  –10 +/
Сообщение от Аноним (??) on 31-Май-12, 00:16 
А я никогда не использовал FreeBSD.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Аноним (??) on 31-Май-12, 00:16 
Вообще то по умолчанию пароли пользователей во фре в МД5 хешатся уже очень-очень давно. Настолько давно, что 7 ветки тогда и в проекте небыло. И там есть
     Currently supported algorithms are:

           1.   MD5
           2.   Blowfish
           3.   NT-Hash

напишите в /etc/auth.conf
crypt_default = blf
будет Blowfish.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от 17 (??) on 31-Май-12, 00:19 
из коробки md5. но обычно все сразу меняют на blf в login.conf
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +1 +/
Сообщение от Аноним (??) on 31-Май-12, 00:34 
+ это еще настраивается для каждого логин класса (по умолчанию тоже md5) в /etc/login.conf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Lazy_Kent (ok) on 31-Май-12, 00:46 
Вот возникает вопрос. Требуется перекомпилировать порты, зависимые от системной библиотеки. Как узнать, какие?

NOTE: Any third-party applications, including those installed from the
FreeBSD ports collection, which are statically linked to libcrypto(3)
should be recompiled in order to use the corrected code.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от iZEN (ok) on 31-Май-12, 01:30 
default:\
    :passwd_format=md5:\

в /etc/login.conf FreeBSD 9-STABLE.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +1 +/
Сообщение от Kibab (ok) on 31-Май-12, 02:18 
Ну навскидку -- посмотреть, какие есть функции с характерными названиями в libcrypt.a, и дальше по всем бинарям в /usr/local/{bin,sbin,libexec} пройтись nm и профильтровать по такому названию. На бинари, содержащие функцию, натравить pkg_info -W и узнать названия пакетов, далее ясно.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Lazy_Kent (ok) on 31-Май-12, 03:57 
> Ну навскидку -- посмотреть, какие есть функции с характерными названиями в libcrypt.a,
> и дальше по всем бинарям в /usr/local/{bin,sbin,libexec} пройтись nm и профильтровать
> по такому названию. На бинари, содержащие функцию, натравить pkg_info -W и
> узнать названия пакетов, далее ясно.

Спасибо. Вряд ли осилю. Как посмотрел, 70 портов, всего лишь, установлено. За пару часов world и порты скомпилируются.

Не в тему: Радует, что в используемом Linux нет статических библиотек.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +1 +/
Сообщение от Аноним (??) on 31-Май-12, 04:14 
http://lists.freebsd.org/pipermail/freebsd-announce/2012-May...

Пункт 2a. Там не написано, что надо пересобирать мир и софт. Пересобрать надо только либу. Так что Вы вроде как пару часов ерундой маялись.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  –5 +/
Сообщение от anonymous (??) on 31-Май-12, 05:18 
А я использовал и мне не понравилось.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +5 +/
Сообщение от kshetragia (ok) on 31-Май-12, 05:39 
Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +7 +/
Сообщение от Нано анон on 31-Май-12, 07:19 
А я использовал и мне понравилось.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +2 +/
Сообщение от Куяврик on 31-Май-12, 08:02 
Яростно плюсую. Отдельное удивление паролям с русскими буквами.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Lazy_Kent (ok) on 31-Май-12, 09:06 
> http://lists.freebsd.org/pipermail/freebsd-announce/2012-May...
> Пункт 2a. Там не написано, что надо пересобирать мир и софт. Пересобрать
> надо только либу. Так что Вы вроде как пару часов ерундой
> маялись.

Там параллельно ещё http://lists.freebsd.org/pipermail/freebsd-announce/2012-May...
Так что, никуда не деться.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от arisu (ok) on 31-Май-12, 11:22 
> Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.

а потом чувак смотрит в монитор и думает, как же туда залогиниться, потому что сетевуха ёк.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Аноним (??) on 31-Май-12, 11:58 
А я не использовал, и мне понравилось.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Аноним (??) on 31-Май-12, 13:06 
О да, это так часто бывает...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от kurokaze (ok) on 31-Май-12, 13:13 
мазохисты тебя не поймут
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +1 +/
Сообщение от arisu (ok) on 31-Май-12, 13:23 
> О да, это так часто бывает…

конечно, «я не встречал — значит, не бывает». отличный подход… для админа локалхоста.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Аноним (??) on 31-Май-12, 13:24 
тык safe mode, не?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Аноним (??) on 31-Май-12, 13:28 
> тык safe mode, не?

и эта... не обязательно же пароль у рута отбирать, в sshd_config есть: PasswordAuthentication

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от user (??) on 31-Май-12, 13:32 
А я не использовал и мне понравилось.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от kshetragia (ok) on 31-Май-12, 15:19 
Я вообще-то про ssh соединение.. Причем тут терминал. Или вас в терминале ломают?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от pavlinux (ok) on 31-Май-12, 15:35 
> А я не использовал и мне понравилось.

А я и мне.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от pavlinux (ok) on 31-Май-12, 15:54 
> default:\
>  :passwd_format=md5:\
> в /etc/login.conf FreeBSD 9-STABLE.

Пишите бах-репорт, мол что за нах, 21 век, а мы все на ДЕСе и МД5

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

33. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Аноним (??) on 31-Май-12, 16:19 
> Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.

Все замечательно, но как при этом выглядит локальный вход в систему?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

34. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  –3 +/
Сообщение от Аноним (??) on 31-Май-12, 16:22 
> А я использовал и мне понравилось.

А я использовал, сравнил с линуксом и срулил туда.

DES очень хорошо подходит к природе бсдшников. Аццтойный древний алгоритм, который под любым углом выглядит как ископаемая дрянь: он и не секурный и тормозной - одновременно! Почему старые маразматики из беркелея им вообще пользуются в 2012 году - загадка природы. Ручник можно и побыстрее отпускать.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

35. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  –2 +/
Сообщение от Аноним (??) on 31-Май-12, 16:23 
> Пишите бах-репорт, мол что за нах, 21 век, а мы все на ДЕСе и МД5

Некрофилов серебряные пули исправят...

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +3 +/
Сообщение от Аноним (??) on 31-Май-12, 16:37 
А этому господину больше не наливать.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от kshetragia (ok) on 31-Май-12, 17:16 
Так же как и до..


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от zazik (ok) on 31-Май-12, 19:25 
>> Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.
> а потом чувак смотрит в монитор и думает, как же туда залогиниться,
> потому что сетевуха ёк.

Ну как бы сингл мод(если вообще всё отрублено, кроме логина по ключам).

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

39. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +3 +/
Сообщение от Аноним (??) on 01-Июн-12, 04:24 
Для тупых повторяю большими красными буквами - чтоб там был DES тебе придётся вручную конфиги править. А ватузятник - а ты вантузятник - не осилит :)
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от тигар (ok) on 01-Июн-12, 22:38 
для этого даже в linux есть пользователь root.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

41. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +1 +/
Сообщение от тигар (ok) on 01-Июн-12, 22:41 
> А я использовал и мне не понравилось.

че, плохая система ругалась на то, что нет такой команды как apt-get ?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

42. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от XoRe (ok) on 01-Июн-12, 23:45 
>> Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.
> а потом чувак смотрит в монитор и думает, как же туда залогиниться,
> потому что сетевуха ёк.

Ничто не мешает иметь пароль у учетной записи и у рута.
Из сети подключаться по ключу.
А из консоли (когда сетевуха ёк), подключаться по паролю.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

43. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от XoRe (ok) on 01-Июн-12, 23:46 
>> А я использовал и мне не понравилось.
> че, плохая система ругалась на то, что нет такой команды как apt-get
> ?

Нет экрана с коричневыми обоинами.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от тигар (ok) on 02-Июн-12, 00:15 
>>> А я использовал и мне не понравилось.
>> че, плохая система ругалась на то, что нет такой команды как apt-get
>> ?
> Нет экрана с коричневыми обоинами.

это повод для pr, считаю, парни из @freebsd.org количественно не добрали хомячков из-за этого! %(

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от XoRe (ok) on 02-Июн-12, 00:17 
> из коробки md5. но обычно все сразу меняют на blf в login.conf

Да, md5.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

46. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Аноним (??) on 02-Июн-12, 09:41 
> пройтись nm

Порты по умолчанию стрипуются от названий символов, см. Strip в bsd.port.mk и ключик `-s' у install(1) и cc(1).

  $ cc foo.c -static -lcrypt -s
  $ nm a.out
  nm: a.out: no symbols

С динамической линковкой проще, nm -D работает всегда.

  $ cc foo.c -lcrypt -s
  $ nm a.out
  nm: a.out: no symbols
  $ nm -D a.out
                   w _Jv_RegisterClasses
  0000000000600a94 A __bss_start
  0000000000600a78 D __progname
  0000000000600a94 A _edata
  0000000000600aa0 A _end
                   U _init_tls
                   U atexit
                   U crypt
  0000000000600a98 B environ
                   U exit

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

47. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Куяврик on 04-Июн-12, 12:05 
>> Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.
> а потом чувак смотрит в монитор и думает, как же туда залогиниться,
> потому что сетевуха ёк.

приехать в датацентр в атланту и ввести пароль. KVM? а при наличии KVM я и без пароля рутом стану.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

48. "Во FreeBSD устранена серьезная уязвимость в libcrypt"  +/
Сообщение от Куяврик on 04-Июн-12, 12:08 
>> Пишите бах-репорт, мол что за нах, 21 век, а мы все на ДЕСе и МД5
> Некрофилов серебряные пули исправят...

глядя на тебя понимаешь, что серебряные пули в некоторых вопросах не помогают.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру