The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Во FreeBSD устранена уязвимость в libcrypt

30.05.2012 21:21

Во FreeBSD обнаружена проблема с хэшированием паролей с использованием стандартной функции crypt(3). Ошибка в реализации алгоритма хэширования DES, расширенного дополнительными элементами для затруднения подбора созданных хэшей, привела к тому, что в ситуации, когда в поступающем вводе встречается символ с кодом 0x80, этот символ и все идущие за ним символы игнорируются. Проблема проявляется только для систем и приложений, использующих алгоритм DES через функцию crypt(). Уязвимости подвержены все поддерживаемые ветки FreeBSD. Проблема устранена в обновлениях 7.4-STABLE, 7.4-RELEASE-p8, 8.3-STABLE, 8.3-RELEASE-p2, 8.2-RELEASE-p8, 8.1-RELEASE-p10, 9.0-STABLE и 9.0-RELEASE-p2. Кроме проблемы с libcrypt в данных обновлениях также устранено 5 уязвимостей во входящем в базовую систему пакете OpenSSL.

Дополнение: Аналогичные проблемы в crypt устранены в PHP, PostgreSQL и OpenBSD.

  1. Главная ссылка к новости (http://lists.freebsd.org/piper...)
  2. OpenNews: Обновление OpenSSL 0.9.8x, 1.0.0j и 1.0.1c с устранением DoS-уязвимости
  3. OpenNews: OpenSSL 0.9.8w с устранением уязвимости. Обновление Postfix с решением проблем с OpenSSL 1.0.1
  4. OpenNews: Критическая уязвимость в OpenSSL
  5. OpenNews: Уязвимости в OpenSSL, systemd, FreeType, libxslt, YAML::LibYAML, DBD::Pg, OpenLDAP
  6. OpenNews: Доступен crypt_blowfish 1.1 с устранением уязвимости, упрощающей подбор некоторых паролей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: libcrypt, freebsd, crypt, des, openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, evgeny_t (ok), 21:53, 30/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а как они обновят ? у текущих пользователей пароль уже захеширован )
    хотя кто использует русские буквы
     
  • 1.2, pavlinux (ok), 22:20, 30/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что, Blowfish там никак низя?!
     
     
  • 2.3, XoRe (ok), 22:37, 30/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А что, Blowfish там никак низя?!

    Можно.
    Если не ошибаюсь, в /etc/login.conf настраивается.
    Но изкоробки - вроде DES.

     
     
  • 3.9, 17 (??), 00:19, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    из коробки md5. но обычно все сразу меняют на blf в login.conf
     
     
  • 4.18, kshetragia (ok), 05:39, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.
     
     
  • 5.20, Куяврик (?), 08:02, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Яростно плюсую. Отдельное удивление паролям с русскими буквами.
     
  • 5.22, arisu (ok), 11:22, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.

    а потом чувак смотрит в монитор и думает, как же туда залогиниться, потому что сетевуха ёк.

     
     
  • 6.24, Аноним (-), 13:06, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    О да, это так часто бывает...
     
     
  • 7.26, arisu (ok), 13:23, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > О да, это так часто бывает…

    конечно, «я не встречал — значит, не бывает». отличный подход… для админа локалхоста.

     
  • 6.27, Аноним (-), 13:24, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    тык safe mode, не?
     
     
  • 7.28, Аноним (-), 13:28, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > тык safe mode, не?

    и эта... не обязательно же пароль у рута отбирать, в sshd_config есть: PasswordAuthentication

     
  • 6.30, kshetragia (ok), 15:19, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще-то про ssh соединение.. Причем тут терминал. Или вас в терминале ломают?
     
  • 6.38, zazik (ok), 19:25, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.
    > а потом чувак смотрит в монитор и думает, как же туда залогиниться,
    > потому что сетевуха ёк.

    Ну как бы сингл мод(если вообще всё отрублено, кроме логина по ключам).

     
  • 6.40, тигар (ok), 22:38, 01/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    для этого даже в linux есть пользователь root.
     
  • 6.42, XoRe (ok), 23:45, 01/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.
    > а потом чувак смотрит в монитор и думает, как же туда залогиниться,
    > потому что сетевуха ёк.

    Ничто не мешает иметь пароль у учетной записи и у рута.
    Из сети подключаться по ключу.
    А из консоли (когда сетевуха ёк), подключаться по паролю.

     
  • 6.47, Куяврик (?), 12:05, 04/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.
    > а потом чувак смотрит в монитор и думает, как же туда залогиниться,
    > потому что сетевуха ёк.

    приехать в датацентр в атланту и ввести пароль. KVM? а при наличии KVM я и без пароля рутом стану.

     
  • 5.33, Аноним (-), 16:19, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Обычно подкладывается ключ в authorized_keys и вход по паролю вырубается нахрен.

    Все замечательно, но как при этом выглядит локальный вход в систему?

     
     
  • 6.37, kshetragia (ok), 17:16, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Так же как и до..


     
  • 4.45, XoRe (ok), 00:17, 02/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > из коробки md5. но обычно все сразу меняют на blf в login.conf

    Да, md5.

     

  • 1.4, oxyum (ok), 22:39, 30/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Где-то уже я читал о подобной уязвимости в паролях с символами старше 0x7F... вот только не могу вспомнить где... кажись с год-два назад было.
     
     
  • 2.5, Аноним (-), 23:08, 30/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.opennet.ru/opennews/art.shtml?num=30953
     

  • 1.6, iZEN (ok), 00:03, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Никогда не использовал пароли с символами национального алфавита.
     
     
  • 2.7, Аноним (-), 00:16, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • –10 +/
    А я никогда не использовал FreeBSD.
     
     
  • 3.17, anonymous (??), 05:18, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А я использовал и мне не понравилось.
     
     
  • 4.19, Нано анон (?), 07:19, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    А я использовал и мне понравилось.
     
     
  • 5.23, Аноним (-), 11:58, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А я не использовал, и мне понравилось.
     
     
  • 6.29, user (??), 13:32, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А я не использовал и мне понравилось.
     
     
  • 7.31, pavlinux (ok), 15:35, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А я не использовал и мне понравилось.

    А я и мне.

     
     
  • 8.36, Аноним (-), 16:37, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А этому господину больше не наливать ... текст свёрнут, показать
     
  • 5.34, Аноним (-), 16:22, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А я использовал и мне понравилось.

    А я использовал, сравнил с линуксом и срулил туда.

    DES очень хорошо подходит к природе бсдшников. Аццтойный древний алгоритм, который под любым углом выглядит как ископаемая дрянь: он и не секурный и тормозной - одновременно! Почему старые маразматики из беркелея им вообще пользуются в 2012 году - загадка природы. Ручник можно и побыстрее отпускать.

     
     
  • 6.39, Аноним (-), 04:24, 01/06/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Для тупых повторяю большими красными буквами - чтоб там был DES тебе придётся вручную конфиги править. А ватузятник - а ты вантузятник - не осилит :)
     
  • 4.25, kurokaze (ok), 13:13, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    мазохисты тебя не поймут
     
  • 4.41, тигар (ok), 22:41, 01/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А я использовал и мне не понравилось.

    че, плохая система ругалась на то, что нет такой команды как apt-get ?

     
     
  • 5.43, XoRe (ok), 23:46, 01/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А я использовал и мне не понравилось.
    > че, плохая система ругалась на то, что нет такой команды как apt-get
    > ?

    Нет экрана с коричневыми обоинами.

     
     
  • 6.44, тигар (ok), 00:15, 02/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А я использовал и мне не понравилось.
    >> че, плохая система ругалась на то, что нет такой команды как apt-get
    >> ?
    > Нет экрана с коричневыми обоинами.

    это повод для pr, считаю, парни из @freebsd.org количественно не добрали хомячков из-за этого! %(

     

  • 1.8, Аноним (-), 00:16, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще то по умолчанию пароли пользователей во фре в МД5 хешатся уже очень-очень давно. Настолько давно, что 7 ветки тогда и в проекте небыло. И там есть
         Currently supported algorithms are:

               1.   MD5
               2.   Blowfish
               3.   NT-Hash

    напишите в /etc/auth.conf
    crypt_default = blf
    будет Blowfish.

     
  • 1.11, Аноним (-), 00:34, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    + это еще настраивается для каждого логин класса (по умолчанию тоже md5) в /etc/login.conf
     
     
  • 2.13, iZEN (ok), 01:30, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    default:\
    :passwd_format=md5:\

    в /etc/login.conf FreeBSD 9-STABLE.

     
     
  • 3.32, pavlinux (ok), 15:54, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > default:\
    >  :passwd_format=md5:\
    > в /etc/login.conf FreeBSD 9-STABLE.

    Пишите бах-репорт, мол что за нах, 21 век, а мы все на ДЕСе и МД5

     
     
  • 4.35, Аноним (-), 16:23, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Пишите бах-репорт, мол что за нах, 21 век, а мы все на ДЕСе и МД5

    Некрофилов серебряные пули исправят...

     
     
  • 5.48, Куяврик (?), 12:08, 04/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Пишите бах-репорт, мол что за нах, 21 век, а мы все на ДЕСе и МД5
    > Некрофилов серебряные пули исправят...

    глядя на тебя понимаешь, что серебряные пули в некоторых вопросах не помогают.

     

  • 1.12, Lazy_Kent (ok), 00:46, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот возникает вопрос. Требуется перекомпилировать порты, зависимые от системной библиотеки. Как узнать, какие?

    NOTE: Any third-party applications, including those installed from the
    FreeBSD ports collection, which are statically linked to libcrypto(3)
    should be recompiled in order to use the corrected code.

     
     
  • 2.14, Kibab (ok), 02:18, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну навскидку -- посмотреть, какие есть функции с характерными названиями в libcrypt.a, и дальше по всем бинарям в /usr/local/{bin,sbin,libexec} пройтись nm и профильтровать по такому названию. На бинари, содержащие функцию, натравить pkg_info -W и узнать названия пакетов, далее ясно.
     
     
  • 3.15, Lazy_Kent (ok), 03:57, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну навскидку -- посмотреть, какие есть функции с характерными названиями в libcrypt.a,
    > и дальше по всем бинарям в /usr/local/{bin,sbin,libexec} пройтись nm и профильтровать
    > по такому названию. На бинари, содержащие функцию, натравить pkg_info -W и
    > узнать названия пакетов, далее ясно.

    Спасибо. Вряд ли осилю. Как посмотрел, 70 портов, всего лишь, установлено. За пару часов world и порты скомпилируются.

    Не в тему: Радует, что в используемом Linux нет статических библиотек.

     
     
  • 4.16, Аноним (-), 04:14, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://lists.freebsd.org/pipermail/freebsd-announce/2012-May/001422.html

    Пункт 2a. Там не написано, что надо пересобирать мир и софт. Пересобрать надо только либу. Так что Вы вроде как пару часов ерундой маялись.

     
     
  • 5.21, Lazy_Kent (ok), 09:06, 31/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > http://lists.freebsd.org/pipermail/freebsd-announce/2012-May/001422.html
    > Пункт 2a. Там не написано, что надо пересобирать мир и софт. Пересобрать
    > надо только либу. Так что Вы вроде как пару часов ерундой
    > маялись.

    Там параллельно ещё http://lists.freebsd.org/pipermail/freebsd-announce/2012-May/001419.html
    Так что, никуда не деться.

     
  • 3.46, Аноним (-), 09:41, 02/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > пройтись nm

    Порты по умолчанию стрипуются от названий символов, см. Strip в bsd.port.mk и ключик '-s' у install(1) и cc(1).

      $ cc foo.c -static -lcrypt -s
      $ nm a.out
      nm: a.out: no symbols

    С динамической линковкой проще, nm -D работает всегда.

      $ cc foo.c -lcrypt -s
      $ nm a.out
      nm: a.out: no symbols
      $ nm -D a.out
                       w _Jv_RegisterClasses
      0000000000600a94 A __bss_start
      0000000000600a78 D __progname
      0000000000600a94 A _edata
      0000000000600aa0 A _end
                       U _init_tls
                       U atexit
                       U crypt
      0000000000600a98 B environ
                       U exit

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру