Está prevista la publicación de una nueva vulnerabilidad para OpenSSH
la próxima semana. A pesar de la carencia de detalles concretos, que
serán desvelados una vez se haga pública, se sabe que cuando OpenSSH
sshd(8) se ejecute con separación de privilegios el bug no debería
poderse explotar.
No obstante se hace necesaria la actualización a OpenSSH 3.3p
publicada hace escasos días. Pese a que esta versión no solucionará de
por si el posible bug, permite evitarlo mediante la configuración de
privilegios separados:
/etc/ssh/sshd_config:
UsePrivilegeSeparation yes
OpenSSH es una distribución gratuita que implementa los protocolos SSH
versión 1 y 2, que nos proporciona la posibilidad de mantener sesiones
interactivas encriptadas.
La introducción de privilegios separados en OpenSSH es bastante
reciente, a penas unos 3 meses, y aún no está completamente
desarrollada para todos los sistemas. Esto significa que al utilizarla
perderemos probablemente algunas características (en algunos sistemas)
como es la compresión de datos.
En general, la separación de privilegios viene en un esfuerzo por
mejorar la seguridad de este servicio, diferenciando en dos las
distintas partes del código, una que necesariamente deberá correr como
root en el sistema, y el resto que se introduce en una jaula «chroot»
exenta de privilegios.
Al actualizar a la versión 3.3 notaremos que se usa por defecto la
opción «UsePrivilegeSeparation», lo que nos obligará a tener que hacer
unas modificaciones en nuestro sistema, como son tener que dar de alta
un nuevo usuario sin privilegios y un directorio vacío para la jaula.
Tras ello, observaremos que por cada conexión tendremos dos procesos,
uno poseído por el usuario y otro que será el monitor de privilegios
del anterior.
fsantos@hispasec.com
Más información:
Página oficial de OpenSSH:
http://www.openssh.com
OpenSSH 3.3 released:
http://www.mindrot.org/pipermail/openssh-unix-announce/2002-June/000040.html
Upcoming OpenSSH vulnerability:
http://www.mindrot.org/pipermail/openssh-unix-announce/2002-June/000041.html
Center for Information Technology Integration
Privilege Separated OpenSSH:
Deja una respuesta