Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Ubuntu kao server ?

[es] :: Advocacy :: Ubuntu kao server ?

[ Pregleda: 5112 | Odgovora: 18 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

legija
Nezaposlen
Banja Luka

Član broj: 3570
Poruke: 1479
*.broadband.blic.net.



+42 Profil

icon Ubuntu kao server ?16.05.2008. u 14:47 - pre 192 meseci
Evo sta mi stize na mail iz DC-a danas :

Code:
 Dear costumers,

 this is a news for user of servers with the OS Debian 3/4 or Ubuntu since 7.04:

 Because of a security hole in the OpenSSL random generator it is necessary to update the SSH keys of the server.

 Please run the following commands:

 # apt-get update && apt-get -y upgrade
 # cd /etc/ssh
 # rm ssh_host_*
 # /var/lib/dpkg/info/openssh-server.postinst configure

 Run the commands without the # symbol!!


Ne koristim ubuntu na serverima, ali ovo mi se cini kao veoma cool security hole ? Neko da detaljnije pojasni ovo, sa sve strucnim terminima i opisom ?
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16681
..adsl-static.isp.belgacom.be.



+7166 Profil

icon Re: Ubuntu kao server ?16.05.2008. u 17:09 - pre 192 meseci
Citat:

The Debian Security Advisory posted up DSA-1571-1 openssl -- predictable random number generator issue today and strongly advised its users to take steps to avoid possible compromising of any systems running on Debian, such as Ubuntu.

The researcher Luciano Bello discovered a security flaw in Debian's random number generator that allows to predict a random generated number. This is caused by an incorrect Debian change to the openssl package. As a result, cryptographic key material may be guessable.

This problem not only affects Debian, but also all its derivatives, such as Ubuntu.


Ho ho ho ho

Sigurni Linux.... HAHAHAHAHAH

Elem, prevedeno na srpski - tvoji kljucevi, generisani tim verzijama OPENSSL-a mogu biti kriptografski analizirani sa mnogo manje truda, i potencijalno mogu biti provaljeni u vrlo kratkom roku ako razbijac zna da iskoristi propust u generatoru slucajnih brojeva, kao sto je ovaj.

Potencijalna steta moze biti lokalizovana u slucaju komunikacija koje su snifovane i imaju forward-secrecy, a one koje nemaju... mogu biti razbijene i kljuc moze biti koriscen i dalje za razbijanje novih komunikacija :) Online kupovine, digitalni potpisi - you name it.

Divota.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

windows_zakon
nista

Član broj: 97723
Poruke: 27
*.hostxtremdns.com.



Profil

icon Re: Ubuntu kao server ?17.05.2008. u 17:05 - pre 192 meseci
Pa siguran je - nije savrsen, niti je iko reko da je savrsen. Sigurno ima jos mnogo bug-ova kako u kernelu tako i u third party softveru, tipa openssl ...
Mislim, to je logicno... a s obzirom da je kod vidljiv svima, veca je shansa da ce neko da pronadje isti propust i da se odredjeni dio koda ispravi sto je prije moguce, ili da se zloupotrebi dok jos niko nije svjestan da isti problem postoji. l;)

Kad mi kao ljudi budemo savrseni, tad ce i kod biti savrsen l;)
Do tad - cekamo bugove OS-a koji nije nas izbor, i onda ismijavamo isti... gdje stignemo.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16681
..adsl-static.isp.belgacom.be.



+7166 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 18:10 - pre 192 meseci
Citat:
windows_zakon
a s obzirom da je kod vidljiv svima, veca je shansa da ce neko da pronadje isti propust i da se odredjeni dio koda ispravi sto je prije moguce, ili da se zloupotrebi dok jos niko nije svjestan da isti problem postoji. l;)


Pa dokle vise ova mantra kako je navodno otvoreni kod sigurniji jer ima "vecu sansu" da bude popravljen ako ima propust?

Eto, ovaj katastrofalni Debian SSL bu je bio tu godinu ipo dana - pa ga niko nije video za tih godinu ipo dana, cak ni originalni OpenSSL developeri nisu odgovorili na svojoj mailing listi na pitanje da li je taj "fix" pametan... I sad neko treba da bude siguran u takav "quality management"?!?!?

Interesantno, da je postojao automatizovani unit-test u kome bi se merila korelacija RNG-a - ona bi vrlo verovatno digla uzbunu zbog naglog skoka korelacije u odnosu na prosli build... Naravno, unit-testovi nisu nesto sto je deo "bazaar" razvoja, pa se eto te stvari vracaju kao bumerang.

Mene niko nece uveriti da je takav nacin "kontrole kvaliteta" (vidi ko kad stigne. "fixuje" ko kad stigne) bolji od industrijskog unit-testiranja, placenog code-review-a koga rade ljudi kojima je to placeni posao i detaljnih QA testova koje radi, opet, tim obucen i placen za QA.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Stefan Markic

Član broj: 82674
Poruke: 759
*.dynamic.sbb.rs.



+73 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 18:27 - pre 192 meseci
Citat:
[url=/p1948661]s obzirom da je kod vidljiv svima, veca je shansa da ce neko da pronadje isti propust i da se odredjeni dio koda ispravi sto je prije moguce, ili da se zloupotrebi dok jos niko nije svjestan da isti problem postoji. l;)


Fino je to u teoriji. ;-) Vala, pre bih se drzao sistema gde manje ljudi radi na tome, a koji su placeni i formalno kvalifikovani za taj posao.
 
Odgovor na temu

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 1011
85.222.163.*

ICQ: 6072593


+49 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 18:59 - pre 192 meseci
Citat:

Sigurni Linux.... HAHAHAHAHAH


Dimkeeeeeeeee prekini da trujes s tom pricoooom...... govoris NEISTINEEEEEE
Hmmm , na VIP-u 3G preko iphone-a 2,6 Mbps DL i 1,4 UP ...
 
Odgovor na temu

Sir_Oliver
Milan Jovanovic
Beograd RS / Aurora IL

Član broj: 2557
Poruke: 353

Sajt: www.novarepublika.com


+17 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 19:29 - pre 192 meseci
Citat:
Ivan Dimkovic: Pa dokle vise ova mantra kako je navodno otvoreni kod sigurniji jer ima "vecu sansu" da bude popravljen ako ima propust?

Eto, ovaj katastrofalni Debian SSL bu je bio tu godinu ipo dana - pa ga niko nije video za tih godinu ipo dana, cak ni originalni OpenSSL developeri nisu odgovorili na svojoj mailing listi na pitanje da li je taj "fix" pametan... I sad neko treba da bude siguran u takav "quality management"?!?!?

Interesantno, da je postojao automatizovani unit-test u kome bi se merila korelacija RNG-a - ona bi vrlo verovatno digla uzbunu zbog naglog skoka korelacije u odnosu na prosli build... Naravno, unit-testovi nisu nesto sto je deo "bazaar" razvoja, pa se eto te stvari vracaju kao bumerang.

Mene niko nece uveriti da je takav nacin "kontrole kvaliteta" (vidi ko kad stigne. "fixuje" ko kad stigne) bolji od industrijskog unit-testiranja, placenog code-review-a koga rade ljudi kojima je to placeni posao i detaljnih QA testova koje radi, opet, tim obucen i placen za QA.

Godinu i po dana camilo cekajuci, otkriveno i zakrpljeno za 3 dana? Pa mislim da to nije nista naspram ovog Win bug-a, koji je btw extremno kritican, a i da ne spominjem da im je trebalo cirka 5-6 godina da ga detektuju i jos nekoliko meseci da oprave: http://secunia.com/advisories/18255/ . Kao sto rece neko: najbolji su brkovi od Vedoki krema, i developeri koji su placeni za testiranje i QA, lol!
 
Odgovor na temu

Mitrović Srđan
bloodzero
Freelance
Majur //: Šabac

Član broj: 10261
Poruke: 2800
212.62.47.*

Sajt: freeshell-reviews.com


+4 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 19:40 - pre 192 meseci
Ne mogu da verujem da neko ko je iole upoznat sa linuxom kaze nesto slicno ovome:

Citat:

Godinu i po dana camilo cekajuci, otkriveno i zakrpljeno za 3 dana?

Kao da je tako jednostavno izasao fix i stvar sredjena :)
Nekim ljudima ne vredi pojasnjavati sta ovaj "bug" vuce sa sobom.
Get real
Tony Melendez:
http://video.google.com/videoplay?docid=-
3819862628517136815&q=tony+melendez

NIKADA NE UZIMATI HOSTING NA GO DADDY!


 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16681
..adsl-static.isp.belgacom.be.



+7166 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 20:23 - pre 192 meseci
Ma nema veze, mislim da ljudi na vecini mesta koja drze do sebe i koji odlucuju o IT infrastrukturi imaju 3 ciste, zato Win. Server i drzi skoro 70% server trzista - izgleda ne padaju na "advocacy" vec umeju da neke stvari logicki analiziraju i donesu zakljucke.

Vidim, Sir_Oliver vadi neke Windows bugove iz naftalina (patchovano 2006-te godine, ej jbt - danas je 2008) i poredi ih sa Debian rupetinom koja je uspela da kompromituje sve SSL/SSH kljuceve i sertifikate kreirane na Debian i Ubuntu masinama od 2006 do 2008... Mislim, ukljucis malo mozak i uporedis takve stvari, pa se zapitas "a sta ovaj prica... da li on to zna" :)

Bojim se da od kada je Microsoft poceo da koristi SDL metodologiju, da ces malo teze da nalazis na kriticne Windows bugove (a kamo li bugove koji su katastrofalni po sigurnost sadrzaja generisanim na OS-u kao sto je ovaj Debian bug) - a analiza ovog Debian buga je pokazala toliko nedostataka FLOSS modela, bar u Debianu - da je to tragikomicno...

- Patchovanje tudjeg koda, bez trunke razumevanja sta taj kod radi (to je ta cuvena OSS "solidarnost" na delu ;-)
- Pitanje autora "patcha" na oficijelnoj mailing listi jako vaznog sigurnosnog projekta (OpenSSL) sta misli o "patch-u" (lol) bez odgovora
- Samoinicijalni patch, tumaceci nedostatak odgovora na pitanje "cutanje je odobravanje" :)
- Nedostatak bilo kakvog ozbiljnog testiranja random-number generatora posle "patcha", iako je RNG esencijalni deo kriptografskog algoritma
- Godinu ipo dana nesigurnih kljuceva i sigurnosnih SSL sertifikata, bez da iko proveri RNG u Debianu

= Priceless, ali bukvalno :)

Porediti to sa placenim razvojem softvera, koji je ozbiljan - kao sto je SDL (Vista / Server 2008) je... onako, funny, uzevsi u obzir ovu situaciju gore, stvarno se covek zapita na kojim pecurkama su neki ljudi ;-)

Nadjite vi, gospodo, Windows bug koji je ucinio kompromitovanim kriptografske kljuceve i sertifikate u toku 1.5 godina - pa se javite... bice zanimljivo :)

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Sir_Oliver
Milan Jovanovic
Beograd RS / Aurora IL

Član broj: 2557
Poruke: 353

Sajt: www.novarepublika.com


+17 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 21:24 - pre 192 meseci
Citat:
Mitrović Srđan: Ne mogu da verujem da neko ko je iole upoznat sa linuxom kaze nesto slicno ovome:


Kao da je tako jednostavno izasao fix i stvar sredjena :)
Nekim ljudima ne vredi pojasnjavati sta ovaj "bug" vuce sa sobom.
Get real

Molim te ti pojasni. :)
 
Odgovor na temu

_AxeZ_
Novi Sad, Vojvodina

Član broj: 141567
Poruke: 40
*.ADSL.neobee.net.

Jabber: axez@elitesecurity.org
ICQ: 2640053


+7 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 21:41 - pre 192 meseci
Citat:
Ivan Dimkovic

Nadjite vi, gospodo, Windows bug koji je ucinio kompromitovanim kriptografske kljuceve i sertifikate u toku 1.5 godina - pa se javite... bice zanimljivo :)


Jel nesto slicno ovome....:)

http://www.theregister.co.uk/2007/11/23/win_xp_random_bug/

Lol, bugcina se vuce jos od win2000...hehe, a ne planiraju da je zakrpe do SP3 sto je ove godine....***ote, 8 godina minimum.

Dimke, mani se ti malo kool aid-a..:)
\x56 \x6f \x6a \x76 \x6f \x64 \x69 \x6e \x61
\x52 \x65 \x70 \x75 \x62 \x6c \x69 \x6b \x61
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16681
..adsl-static.isp.belgacom.be.



+7166 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 21:58 - pre 192 meseci
Haha, prvo - dokle cete vi da pominjete obsolete OS-eve? Mislim, jos malo pa cemo pricati i o nekom bugu u NT 3.1 kako je izgleda krenulo :)

Btw, to je taj "bag" koji sam pomenuo na Debian temi - nikad nije izasao van tog naucnog rada (na stranu sto je njegova potencijalna steta bila daleko manja), dok za Debian postoje ready-made alatke koje su implementacija propusta i "empoweruju" svakog wannabe h4x0ra da provaljuje kljuceve :)

Sta reci...
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

_AxeZ_
Novi Sad, Vojvodina

Član broj: 141567
Poruke: 40
*.ADSL.neobee.net.

Jabber: axez@elitesecurity.org
ICQ: 2640053


+7 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 22:21 - pre 192 meseci
Sorry, Win XP je jos uvek najrasprostranjeniji win na trzistu, tesko da se moze nazvati obsolete...;)

nice try though...:)
\x56 \x6f \x6a \x76 \x6f \x64 \x69 \x6e \x61
\x52 \x65 \x70 \x75 \x62 \x6c \x69 \x6b \x61
 
Odgovor na temu

obucina

Član broj: 38191
Poruke: 723

Jabber: obucina


+7 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 22:22 - pre 192 meseci
Bez kompletnih tehničkih detalja o propustu i naročito o uslovima i opsegu u kome se može predvideti izlaz generatora slučajnih brojeva, ne treba počinjati rasprave tipa "čiji je veći". Ovo iz razloga što je svaki softverski RNG predvidiv pod određenim okolnostima. Ako je nekome potrebna zaista ozbiljna bezbednost, ne treba ni da razmišlja o softverskim RNG i treba da koristi neki od, da tako kažem, "pravih" generatora (šum iz etra, fotonski generatori, merači radijacije).
 
Odgovor na temu

_AxeZ_
Novi Sad, Vojvodina

Član broj: 141567
Poruke: 40
*.ADSL.neobee.net.

Jabber: axez@elitesecurity.org
ICQ: 2640053


+7 Profil

icon Re: Ubuntu kao server ?17.05.2008. u 22:33 - pre 192 meseci
To nije toliko ni bitno u ovom slucaju vec sam proces izdavanja zakrpe koji win zealoti ismejavaju kad je linux u pitanju a sami su busni ko sito.

Ovo je prilicno ozbiljan bug i kad nekome treba 8 godina da ga zakrpi sve bajke o "profesionalcima", "placenom razvoju softvera" i slicne gluposti se svode na rubriku u zutoj stampi tipa koja pevaljka ima vece silikone.
Ista korisnost informacija..:)

\x56 \x6f \x6a \x76 \x6f \x64 \x69 \x6e \x61
\x52 \x65 \x70 \x75 \x62 \x6c \x69 \x6b \x61
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16681
..adsl-static.isp.belgacom.be.



+7166 Profil

icon Re: Ubuntu kao server ?18.05.2008. u 07:32 - pre 192 meseci
Jeste, da... Hajde da vidimo ;-)

- Ovo je teoretski bug, gde nije uopste doslo do prakticne implementacije koja se odnosi na neki sigurnosni sistem, recimo SSL - dok je na Ubuntu u pitanju bug sa prakticnom implementacijom i dokazanom opasnoscu

- Za njegovu prakticnu implementaciju je neophodno imati fizicki pristup sistemu kako bi se saznalo vise o izvor entropy-poola

- WinXP svakako nigde nije koriscen kao serverski sistem, tako da tesko da neko uopste generise SSL sertifikate i komercijalno bitne kljuceve na njemu, cak i da je bug imlpementiran, a nije - pa je smesno pricati o poredjenju opasnosti.

- WinXP nije OS koji je pisan sa SDL metodologijom koju sam pomenuo kao daleko sigurniju, Microsoft je na SDL presao posle XP-a

Tako da Axez & Co mogu samo da nastave da troluju i da porede teoretske naucne radove u obsolete OS-evima sa prakticno implementiranom rupcagom na trenutno shipovanom Debian-u.

Jeste, da... isto je to :)

Citat:

Ovo je prilicno ozbiljan bug


Prilicno je ozbiljan naucni rad - bug je nesto sto je exploitabilno u praksi, Axez... kao recimo Debian rupa ;-)
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

vladared
Vladimir Crveni
Sistem Administrator
Novi Sad

Član broj: 50291
Poruke: 1026
*.mynsn.net.

Sajt: www.itpoint.rs


+394 Profil

icon Re: Ubuntu kao server ?18.05.2008. u 09:22 - pre 192 meseci
Ili recimo Bug u Windowsu 98 koji nikada nije popravljen, a gde si ulazio u sistem pritiskom na dugme cancel kada je tražio šifru... A, da... Mi blatimo samo non-windows rešenja.
 
Odgovor na temu

Burgos
Nemanja Borić
Amazon Web Services
Berlin

Član broj: 12484
Poruke: 1947
217.169.209.*

Sajt: stackoverflow.com/users/1..


+480 Profil

icon Re: Ubuntu kao server ?18.05.2008. u 12:11 - pre 192 meseci
:)

Windows 98 je kvazi-multiuser sistem, gde su se korisnički profili koristili isključivo kao način za čuvanje podešavanja (mreža, teme, StartUp, start menu, etc). To Cancel nikada nije ni bio bag, već način da uđeš u Default profil. Ionako si sa bilo kog profila mogao da čitaš bilo koje podatke. FAT32 keva ;).

A ukoliko si baš toliko paranoičan - naravno da je postojao način. Ne sećam se tačno, ali negde u policy editoru postojalo je podešavanje: "Must be validated". A isto to i importovanjem Reg ključa (lepo piše u Helpu):

[HKEY_LOCAL_MACHINE\Network\Logon]
"MustBeValidated" = dword:00000001
 
Odgovor na temu

windows_zakon
nista

Član broj: 97723
Poruke: 27
*.hostxtremdns.com.



Profil

icon Re: Ubuntu kao server ?18.05.2008. u 13:42 - pre 192 meseci
Pa imas i placene developere... RedHat izmedju ostalih, placa svoje developere i mnogo njihovog koda ide u orginalne pakete po defaultu.

Druga stvar, bug je zesce debilan.. t.j. onaj ko je cacko po kodu je zesci debil.. znaci ladno je lik komentariso dio koda da bi valgrind prestao da izbacuje neke warninge. Naravno, neosporno je da je to neoprostivo i da se takve stvari ne bi trebalo desavati, ali je isto tako debilno osudjivati citav open sors na osnovu buga koji se ... nalazi il sta.. veoma rijetko, tacnije, ja nisam ni cuo za ovakve slucajeve ranije.

Jedina poslijedica koju je ovaj slucaj izazv'o je nasladjivanje i agresiju MS tabora prema open sorsu.

 
Odgovor na temu

[es] :: Advocacy :: Ubuntu kao server ?

[ Pregleda: 5112 | Odgovora: 18 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.