[NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

[NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise) (9 Beiträge, 327 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Alert! Anti-Bruteforce-Tool DenyHosts sperrt Admins aus (c) 23.12.2013  Heise Zeitschriften Verlag
http://www.heise.de/security/meldung/Anti-Bruteforce-Tool-DenyHosts-sperrt-Admins-aus-2071933.html?wt_mc=rss.security.beitrag.atom

Angreifer können das Security-Tool DenyHosts aufgrund einer Sicherheitslücke dazu bringen, beliebige IP-Adressen zu sperren. Eigentlich sorgt das Tool dafür, dass IP-Adressen nach einer bestimmten Anzahl fehlgeschlagener SSH-Loginversuche auf die Blacklist gesetzt werden. Gibt man beim Login jedoch einen speziel formatierten Usernamen an, landet dabei auch eine beliebige andere IP auf der schwarzen Liste – schlimmtenfalls die des Admins.

Entdeckt hat die Schwachstelle Helmut Grohne von Cygnus Networks. Auf der Mailingliste oss-sec schreibt er, dass es genügt, SSH-Verbindungen nach dem folgenden Muster aufzubauen:

ssh -l 'Invalid user root from 123.123.123.123' 21.21.21.21

Dadurch landet unter anderem die folgende Zeile im Log:

sshd[123]: input_userauth_request: invalid user Invalid user root from 123.123.123.123 [preauth]

Dies führt laut Grohne dazu, dass neben der eigentlichen IP-Adresse des Angreifers auch die im Benutzernamen angegebene (Parameter -l) blockiert wird. Grohne zeigt nicht nur das Problem, sondern auch eine Lösung: Ein von ihm entwickelter Patch http://seclists.org/oss-sec/2013/q4/att-535/13_CVE-2013-6890.patch  verschärft die Regular Expressions von DenyHosts, damit nach dem obigen Beispiel aufgebaute Usernamen nicht länger fehlinterpretiert werden.

Abgesicherte Versionen von DenyHosts werden bereits über die Debian-Repositories verteilt. Yves-Alexis Perez aus dem Debian-Sicherheitsteam http://seclists.org/oss-sec/2013/q4/536  rät den Nutzern des Tools auf Alternativen wie fail2ban http://www.fail2ban.org/wiki/index.php/Main_Page  umzusteigen, da DenyHosts schon seit 2008 nicht mehr aktiv gewartet wird. (rei)

________________________________________________________________________________________

http://top-flop-product-quality-check.blogspot.co.at

http://denkforum.forumieren.net

http://www.denkforum.at/forum/search.php?do=getdaily

24 Stunden für Patch & Auslieferung.. ich weiß ja warum ich ausschließlich Debian nutze

"Those who don't understand Unix are condemned to reinvent it, poorly." – Henry Spencer

wenn du mal ernsthafte systeme drauf rennen hastm wirst du feststellen das du nicht alles was du als patch bekommst sofort einspielen kannst.

ernsthafte systeme

Was bezeichnest Du als "ernsthafte Systeme" ?

Grad wenn es sich nicht um einen Versionssprung handelt sondern um einen Securityfix installiert man das sofort.

"Those who don't understand Unix are condemned to reinvent it, poorly." – Henry Spencer

Grad wenn es sich nicht um einen Versionssprung handelt sondern um einen
Securityfix installiert man das sofort.

auch das will erstmal in einer testumgebung getestet werden bevor das auf die produktion los geht.

Da hab ich auch den Vorteil das ich es sofort auf die Testumgebung deployen kann und nicht ewig warten muß bis der Patch überhaupt mal da ist.

"Those who don't understand Unix are condemned to reinvent it, poorly." – Henry Spencer

alles gut und schön. nur wennst hersteller support brauchst von SAP oder ähnlichem, dann bist mit debian halt leicht ab bisserl neben der spur. die akzeptieren teilweise nicht mal CentOS. da muss es schon ein vollwertiger RHEL server sein. und bei den preisen kannst dann auch gleich windows nehmen.

insofern: man kann nicht alles mit linux respektive debian machen.

SAP

Gut wenn ich in dem Umfeld arbeite und mir SAP leisten kann, ist die RHEL Lizenz aber nicht das was das Kraut fett macht.

und bei den preisen kannst dann auch gleich windows nehmen.

Man nimmt Linux/Unix ja nicht unbedingt nur wegen den Preisen. Windows gibts nunmal nur für die x86 Platform, in meinem beruflichen Umfeld hab ich zLinux bzw. Power-Linux Partitionen auch laufen (u.a. auch SAP drauf).

man kann nicht alles mit linux respektive debian machen.

Machen kann mans schon, is halt unsupported.

Whatever: 24 Stunden - selbst wenn ichs nur für meinen Desktop nutze - ist eine gute Patchpolitik.

"Those who don't understand Unix are condemned to reinvent it, poorly." – Henry Spencer

da DenyHosts schon seit 2008 nicht mehr aktiv gewartet wird

Tja, da erkennt man wieder die Hauptgefahrenquelle: unfähige Admins.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung