 |
1
kn007 Jan 15, 2016
https://kn007.net/topics/wechat-official-account/
PS. Fix OpenSSH Security Bug CVE-2016-0777(Only Redhat/CentOS 7 Affected). 快 0 点的事情。。。 |
|
2
kn007 Jan 15, 2016
貌似要 openssh 大于 5.4 版本才有。
Since version 5.4, the OpenSSH client supports an undocumented feature called roaming |
 |
4
silverfox Jan 15, 2016  4
这个 Bug 是对客户端 (ssh) 有影响,不是服务端 (sshd)。所以一般只需要检查本地和跳板机。
## 受影响版本 5.4 至 7.1 ## 验证 ssh -v user@hostname 2>&1 > /dev/null | grep -i 'roaming' 如输出有 debug1: Roaming not allowed by server 则受此影响,否则无需操作 ## 修复 echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config OS X 10.9 的路径是 /etc/ssh_config |
 |
6
SharkIng Jan 15, 2016
所以收到影响的是本地的 SSH 而不是远程的 SSHD 是么?
|
 |
8
clino Jan 15, 2016
到底会有什么后果?
貌似会被恶意的主机利用获取客户端的信息哈? |
 |
10
imlonghao Jan 15, 2016
@kn007 service sshd reload 是不需要的,你说改了配置要重启,其实是我们改的只是 ssh_config 而不是 sshd_config 所以没有必要
|
|
12
silverfox Jan 15, 2016 2
@clino 简单地说 OpenSSH 客户端 (ssh) 支持 Roaming 这个未在文档上注明的试验性功能,它是在与服务器连接异常中断时恢复连接用的。
这个功能出了两个 BUG ,恶意主机(被入侵的主机)可以通过在服务端中断连接的方式诱导客户端从内存里泄露机密信息(私钥)给它。 所以要在客户端里把这个功能临时禁用掉,等待新版本发布后修正。 OpenSSH 服务端 (sshd) 不能支持客户端的这个功能 (-_-) ,所以验证的时候会提示“ Roaming not allowed by server ”。 ## 参考 http://security.stackexchange.com/questions/110639/how-exploitable-is-the-recent-useroaming-ssh-problem http://www.undeadly.org/cgi?action=article&sid=20160114142733 |
 |
13
loveminds Jan 15, 2016
这是给本地客户端用的吧,而不是服务器
|
 |
15
ryd994 Jan 15, 2016 3
这个漏洞不能获取 ssh-agent 的私钥,不能用于非 openssh 客户端(比如 putty ),,要先攻陷一台服务器或者让用户登录恶意服务器(中间人没用),还只能获取加密过的私钥,所以其实没那么严重。
这个 workaround 是用在客户端上的,也就是说是用来 patch 你自己电脑而不是服务器用的 我从最近全面转向 Yubikey ,自己的服务器用 OTP 登录,别人的服务器用智能卡公钥登录。无论哪种情况,都免疫这种攻击,因为内存里从来就没有私钥。 |
|
16
ryd994 Jan 15, 2016
windows 上都用 putty
linux 上没几个人高兴一直输密码,大多是用 agent 的 如果你私钥不加密码那时你自己活该 |
 |
17
likuku Jan 15, 2016
刚 debian 的例行每日更新:
The following packages will be upgraded: openssh-client openssh-server 2 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 1,364 kB of archives. After this operation, 0 B of additional disk space will be used. Do you want to continue [Y/n]? Y Get:1 http://security.debian.org/ wheezy/updates/main openssh-server amd64 1:6.0p1-4+deb7u3 [340 kB] Get:2 http://security.debian.org/ wheezy/updates/main openssh-client amd64 1:6.0p1-4+deb7u3 [1,024 kB] |
 |
18
Braid Jan 15, 2016 1
@silverfox Mac OS X 下的修补方案是: echo 'Host *\nUseRoaming no' >> /etc/ssh_config
注意没有“-e ”! 注意没有“-e ”! 注意没有“-e ”! 重要的话讲三遍~~~ |
|
19
silverfox Jan 15, 2016 1
@Tinet 没写反,我们要禁用的是客户端的 Roaming 功能。
“ Roaming not allowed by server ” 是客户端提示信息,说服务端不支持这个特性。 如果禁用了这个功能,客户端就不会跟服务端协商说要用 Roaming ,自然就没有这个提示信息了。 |
 |
20
est Jan 15, 2016 2
openssh 抄袭 mosh 还抄出了 bug 。
|
 |
21
SpicyCat Jan 15, 2016
为啥我在 man ssh_config 中没有找到 UseRoaming 这个选项
|
|
23
ryd994 Jan 15, 2016
|
 |
24
so898 OP @loveminds 线上的 Xen 主机还有分部在各个机房的实体机很多都需要通过先登录到特定的服务器,然后在继续 ssh 登录到其他机器的方法来操作的,是怕这个地方出问题了
|
 |
26
yeyeye Jan 15, 2016 via Android
Bitvise Tunnelier 受影响吗 如果是客户端问题的话
|
 |
27
catlove Jan 15, 2016
用 dropbear 的表示灰常蛋定~
|
|
28
ryd994 Jan 15, 2016 via Android
|
 |
29
guojing Jan 15, 2016 via Android
这个 Mac OS X10.10 有影响吗?按照上面说的方法检测没发现问题,但是 openssh 版本在受影响范围
|
 |
30
873681136 Jan 16, 2016
看成 openssl 吓了一跳
|
Select Language