这是一个创建于 3217 天前的主题,其中的信息可能已经有所发展或是发生改变。
做噩梦惊醒,本来说看看 HN 定定神,然后就看到了置顶的那个 OpenSSH Bug
看了一圈讨论没搞清楚是个啥问题,但可以确定的是这货比较严重
给自家几台服务器简单部署了 Workaround 之后倒床去……
OpenSSH: client bug CVE-2016-0777 : http://undeadly.org/cgi?action=article&sid=20160114142733
HN 讨论: https://news.ycombinator.com/item?id=10901588
看了一圈讨论没搞清楚是个啥问题,但可以确定的是这货比较严重
给自家几台服务器简单部署了 Workaround 之后倒床去……
OpenSSH: client bug CVE-2016-0777 : http://undeadly.org/cgi?action=article&sid=20160114142733
HN 讨论: https://news.ycombinator.com/item?id=10901588
 |
1
kn007 2016-01-15 04:15:38 +08:00
https://kn007.net/topics/wechat-official-account/
PS. Fix OpenSSH Security Bug CVE-2016-0777(Only Redhat/CentOS 7 Affected). 快 0 点的事情。。。 |
|
2
kn007 2016-01-15 04:19:10 +08:00
貌似要 openssh 大于 5.4 版本才有。
Since version 5.4, the OpenSSH client supports an undocumented feature called roaming |
 |
4
silverfox 2016-01-15 07:33:31 +08:00  4
这个 Bug 是对客户端 (ssh) 有影响,不是服务端 (sshd)。所以一般只需要检查本地和跳板机。
## 受影响版本 5.4 至 7.1 ## 验证 ssh -v user@hostname 2>&1 > /dev/null | grep -i 'roaming' 如输出有 debug1: Roaming not allowed by server 则受此影响,否则无需操作 ## 修复 echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config OS X 10.9 的路径是 /etc/ssh_config |
 |
6
SharkIng 2016-01-15 07:44:42 +08:00
所以收到影响的是本地的 SSH 而不是远程的 SSHD 是么?
|
 |
8
clino 2016-01-15 07:51:02 +08:00
到底会有什么后果?
貌似会被恶意的主机利用获取客户端的信息哈? |
 |
10
imlonghao 2016-01-15 08:23:04 +08:00
@kn007 service sshd reload 是不需要的,你说改了配置要重启,其实是我们改的只是 ssh_config 而不是 sshd_config 所以没有必要
|
|
12
silverfox 2016-01-15 08:26:13 +08:00 2
@clino 简单地说 OpenSSH 客户端 (ssh) 支持 Roaming 这个未在文档上注明的试验性功能,它是在与服务器连接异常中断时恢复连接用的。
这个功能出了两个 BUG ,恶意主机(被入侵的主机)可以通过在服务端中断连接的方式诱导客户端从内存里泄露机密信息(私钥)给它。 所以要在客户端里把这个功能临时禁用掉,等待新版本发布后修正。 OpenSSH 服务端 (sshd) 不能支持客户端的这个功能 (-_-) ,所以验证的时候会提示“ Roaming not allowed by server ”。 ## 参考 http://security.stackexchange.com/questions/110639/how-exploitable-is-the-recent-useroaming-ssh-problem http://www.undeadly.org/cgi?action=article&sid=20160114142733 |
 |
13
loveminds 2016-01-15 08:34:06 +08:00
这是给本地客户端用的吧,而不是服务器
|
 |
14
Tinet 2016-01-15 09:26:24 +08:00
@silverfox Roaming not allowed by server ,如果服务器端不支持这个特性才受影响?确定没写反?
|
 |
15
ryd994 2016-01-15 09:28:35 +08:00 3
这个漏洞不能获取 ssh-agent 的私钥,不能用于非 openssh 客户端(比如 putty ),,要先攻陷一台服务器或者让用户登录恶意服务器(中间人没用),还只能获取加密过的私钥,所以其实没那么严重。
这个 workaround 是用在客户端上的,也就是说是用来 patch 你自己电脑而不是服务器用的 我从最近全面转向 Yubikey ,自己的服务器用 OTP 登录,别人的服务器用智能卡公钥登录。无论哪种情况,都免疫这种攻击,因为内存里从来就没有私钥。 |
|
16
ryd994 2016-01-15 09:30:30 +08:00
windows 上都用 putty
linux 上没几个人高兴一直输密码,大多是用 agent 的 如果你私钥不加密码那时你自己活该 |
 |
17
likuku 2016-01-15 09:39:33 +08:00
刚 debian 的例行每日更新:
The following packages will be upgraded: openssh-client openssh-server 2 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 1,364 kB of archives. After this operation, 0 B of additional disk space will be used. Do you want to continue [Y/n]? Y Get:1 http://security.debian.org/ wheezy/updates/main openssh-server amd64 1:6.0p1-4+deb7u3 [340 kB] Get:2 http://security.debian.org/ wheezy/updates/main openssh-client amd64 1:6.0p1-4+deb7u3 [1,024 kB] |
 |
18
Braid 2016-01-15 09:55:54 +08:00 1
@silverfox Mac OS X 下的修补方案是: echo 'Host *\nUseRoaming no' >> /etc/ssh_config
注意没有“-e ”! 注意没有“-e ”! 注意没有“-e ”! 重要的话讲三遍~~~ |
|
19
silverfox 2016-01-15 10:31:47 +08:00 1
@Tinet 没写反,我们要禁用的是客户端的 Roaming 功能。
“ Roaming not allowed by server ” 是客户端提示信息,说服务端不支持这个特性。 如果禁用了这个功能,客户端就不会跟服务端协商说要用 Roaming ,自然就没有这个提示信息了。 |
 |
20
est 2016-01-15 10:35:44 +08:00 2
openssh 抄袭 mosh 还抄出了 bug 。
|
 |
21
SpicyCat 2016-01-15 10:53:25 +08:00
为啥我在 man ssh_config 中没有找到 UseRoaming 这个选项
|
|
23
ryd994 2016-01-15 11:22:29 +08:00
|
 |
24
so898 OP @loveminds 线上的 Xen 主机还有分部在各个机房的实体机很多都需要通过先登录到特定的服务器,然后在继续 ssh 登录到其他机器的方法来操作的,是怕这个地方出问题了
|
 |
26
yeyeye 2016-01-15 14:00:13 +08:00 via Android
Bitvise Tunnelier 受影响吗 如果是客户端问题的话
|
 |
27
catlove 2016-01-15 15:14:44 +08:00
用 dropbear 的表示灰常蛋定~
|
|
28
ryd994 2016-01-15 20:14:15 +08:00 via Android
|
 |
29
guojing 2016-01-15 21:04:26 +08:00 via Android
这个 Mac OS X10.10 有影响吗?按照上面说的方法检测没发现问题,但是 openssh 版本在受影响范围
|
 |
30
873681136 2016-01-16 19:56:13 +08:00
看成 openssl 吓了一跳
|
Select Language