Fwd: [raptor@mediaservice.net: OpenSSH/PAM timing attack allows remote users identification]
Arkadiusz Miskiewicz
misiek w pld.ORG.PL
Śro, 30 Kwi 2003, 23:03:52 CEST
On/Dnia Wed, Apr 30, 2003 at 10:56:56PM +0200, Tomasz Kłoczko wrote/napisał(a)
> On Wed, 30 Apr 2003, Arkadiusz Miskiewicz wrote:
>
> > On/Dnia Wed, Apr 30, 2003 at 09:16:59PM +0200, Tomasz Kłoczko wrote/napisał(a)
> > > > > Problemem dużo większym niż timing jest tutaj privsep.
> > > >
> > > > zawsze mozna UsePrivilegeSeparation no, ale to jest polsrodek :\
> > >
> > > Chwilowo jak już wspomniałem usterka nei jest krytyczna i możemy
> > > spokojnie poczekać na rozwój wypadków.
> > > Bład jest ale nei taki żeby bać się jakos mocno konsekwencji jego
> > > eksploatacji.
> > wg. developerów portable openssh to nie jest błąd. Już raz o tym
> > pisałem.
>
> No dobra czyli niejest błędem to że po użyciu staje sie mało możliwe
> sterowanie limitami w sesji ? :)
Jest możliwe sterowanie jak najbardziej. Wystarczy, że podniesiesz
limity przed odpaleniem sshd.
Ta część sshd pracuje z usera i nie ma możliwości stania się rootem.
> kloczek
--
Arkadiusz Miśkiewicz CS at FoE, Wroclaw University of Technology
arekm w sse.pl AM2-6BONE, 1024/3DB19BBD, arekm(at)ircnet, PLD/Linux
Więcej informacji o liście dyskusyjnej pld-devel-pl