Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem (diskuse)

AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

Raspberry Pi OS 2025-05-06

dnes 17:33 | Nová verze

Raspberry Pi OS, oficiální operační systém pro Raspberry Pi, byl vydán v nové verzi 2025-05-06. Přehled novinek v příspěvku na blogu Raspberry Pi a poznámkách k vydání. Pravděpodobně se jedná o poslední verzi postavenou na Debianu 12 Bookworm. Následující verze by již měla být postavena na Debianu 13 Trixie.

Ladislav Hagara | Komentářů: 0

Richard Stallman dnes v Liberci přednáší o svobodném softwaru a svobodě v digitální společnosti

dnes 05:33 | Komunita

Richard Stallman dnes v Liberci přednáší o svobodném softwaru a svobodě v digitální společnosti. Od 16:30 v aule budovy G na Technické univerzitě v Liberci. V anglickém jazyce s automaticky generovanými českými titulky. Vstup je zdarma i pro širokou veřejnost.

Ladislav Hagara | Komentářů: 13

sudo-rs nahradí v Ubuntu 25.10 klasické sudo

dnes 03:55 | Komunita

sudo-rs, tj. sudo a su přepsáné do programovacího jazyka Rust, nahradí v Ubuntu 25.10 klasické sudo. V plánu je také přechod od klasických coreutils k uutils coreutils napsaných v Rustu.

Ladislav Hagara | Komentářů: 0

Fedora oficiální distribucí WSL

včera 22:11 | Nasazení Linuxu

Fedora se stala oficiální distribucí WSL (Windows Subsystem for Linux).

Ladislav Hagara | Komentářů: 2

IBM LinuxONE Emperor 5

včera 13:22 | IT novinky

Společnost IBM představila server IBM LinuxONE Emperor 5 poháněný procesorem IBM Telum II.

Ladislav Hagara | Komentářů: 1

Lazarus 4.0

včera 04:55 | Nová verze

Byla vydána verze 4.0 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Přehled novinek v poznámkách k vydání. Využíván je Free Pascal Compiler (FPC) 3.2.2.

Ladislav Hagara | Komentářů: 1

Kampaň Konec desítek (End of 10)

včera 00:33 | Komunita

Podpora Windows 10 končí 14. října 2025. Připravovaná kampaň Konec desítek (End of 10) může uživatelům pomoci s přechodem na Linux.

Ladislav Hagara | Komentářů: 32

Virtuální Bastlírna vol. 50: Power Over HDMI?

5.5. 23:22 | Pozvánky

Již tuto středu proběhne 50. Virtuální Bastlírna, tedy dle římského číslování L. Bude L značit velikost, tedy více diskutujících než obvykle, či délku, neboť díky svátku lze diskutovat dlouho do noci? Bude i příští Virtuální Bastlírna virtuální nebo reálná? Nejen to se dozvíte, když dorazíte na diskuzní večer o elektronice, softwaru, ale technice obecně, který si můžete představit jako virtuální posezení u piva spojené s učenou

… více »

bkralik | Komentářů: 0

Konec Skypu

5.5. 22:33 | IT novinky

Dle plánu dnes končí služba Skype. Uživatelé mohou pokračovat v Microsoft Teams.

Ladislav Hagara | Komentářů: 1

Statistický geoportál nově nabízí otevřená GIS data

5.5. 21:44 | IT novinky

Český statistický úřad rozšiřuje Statistický geoportál o Datový portál GIS s otevřenými geografickými daty. Ten umožňuje stahování datových sad podle potřeb uživatelů i jejich prohlížení v mapě a přináší nové možnosti v oblasti analýzy a využití statistických dat.

Ladislav Hagara | Komentářů: 2

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 24, poslední dnes 17:10

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem / Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

18.7.2016 14:37 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Odpovědět | Sbalit | Link | Blokovat | Admin

No nevim, zkousel jsem ten PoC kod a ty casy mi vysly dost blizko u sebe...

18.7.2016 23:41 j
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Odpovědět | Sbalit | Link | Blokovat | Admin

Chmm, pekna hypoteza ... fungujici s nejakou pravdepodobnosti mozna v labu. A ted k realite netu ... rek bych, ze radove vic rychlost reakce ovlivni sit jako takova.

19.7.2016 11:47 hnmpr
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Nevím jestli jsi se díval na kód v odkazu, je tam zmíněno:

*** when TCP timestamp option is enabled the best way to measure the time would be using timestamps from the TCP packets of the server, since this will eliminate any network delays on the way.

19.7.2016 22:40 j
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Stejne je to knicemu, ze tam existuje root vim, a nepotrebuju nic scanovat, ze ... a rek bych, ze daleko efektivnejsi bude si strelit prijmeni administratoru jako dalsi ucty ... pripadne dalsi podobny akce. Nez zkouset random nejaky slovniky.

20.7.2016 02:25 Sten
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Na naprosté většině distribucí je přednastaveno PermitRootLogin without-password, takže znalost existence roota vám v brute-force útoku nepomůže. Zjištění, jestli uživatel, u kterého se snažíte brute-forceovat heslo, existuje, dost pomůže snížit náročnost takového útoku.

20.7.2016 20:27 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Především je holý nerozum mít autentizaci heslem povolenou pro jakéhokoli uživatele. Spíš by bylo zajímavé, jestli je měřitelný časový rozdíl mezi existujícím a neexistujícím uživatelem i při použití autentizace klíčem.

21.7.2016 04:21 Sten
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Docela pochybuju, že by to šlo, alespoň ne stejným způsobem, tenhle útok používá velmi dlouhé heslo, ale u klíčů generuje challenge server.

Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.

21.7.2016 09:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.

Záleží na distribuci ;-)

22.7.2016 09:53 ⧠ A = 0 | skóre: 11 | blog: Technokratovo_zrcadlo | Helsinki
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Příloha:

kuvankaappaus7.png (246414 bytů)

Hustě. Kvalita a pokrytí lokalisace někdy dokáže překvapit.

(Koukám, že tohle se bude Debianu omlacovat o hlavu asi ještě za dvacet let.)

Nevolte zmrdy.

20.7.2016 10:32 martin-ux
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

striktne povedane neviete naisto, ze je tam root .. viete len, ze je tam user s uid 0.

20.7.2016 23:30 martin-ux
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Odpovědět | Sbalit | Link | Blokovat | Admin

Este pridam aj linku na exploit: https://www.exploit-db.com/exploits/40136/

Samozrejme, ze niekedy je potrebne aby user mal heslo a nie ; tvrdit opak je nonsense. Co som na svoje servre tak to sedelo pekne.

Založit nové vlákno • Nahoru

Tiskni Sdílej: