abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 19:22 | Nová verze

    Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

    Ladislav Hagara | Komentářů: 0
    dnes 15:11 | Nová verze

    Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    dnes 10:44 | Komunita

    Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu 2024. Zúčastnilo se více než 7000 uživatelů. Téměř 93 % z nich například používá uživatelské rozhraní v angličtině.

    Ladislav Hagara | Komentářů: 2
    včera 23:55 | Zajímavý článek

    Lukáš Růžička v článku RamaLama aneb vyháníme lamy na vlastní louku na MojeFedora.cz představuje open source nástroj RamaLama umožňující spouštět jazykové modely v izolovaných OCI kontejnerech, a to bezpečně, bez potřeby mít root přístup k počítači, s podporou GPU či CPU a bez zbytečných obtížností kolem.

    Ladislav Hagara | Komentářů: 0
    včera 22:55 | Nová verze

    Byl vydán Sublime Text 4 Build 4200. Sublime Text (Wikipedie) je proprietární multiplatformní editor textových souborů a zdrojových kódů. Ke stažení a k vyzkoušení je zdarma. Pro další používání je nutná licence v ceně 99 dolarů. Spolu se Sublime Merge je cena 168 dolarů.

    Ladislav Hagara | Komentářů: 0
    včera 18:00 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.12.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    včera 16:11 | Nová verze

    Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 25.5. Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    včera 13:00 | Komunita

    Po 25 letech s číslem 329 končí linuxový časopis Linux Format (Wikipedie, reddit, 𝕏).

    Ladislav Hagara | Komentářů: 1
    včera 12:00 | Zajímavý software

    Immich z balíčků open source aplikací FUTO je alternativa k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí. Umožňuje vlastní hosting serveru Immich. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.

    Ladislav Hagara | Komentářů: 5
    včera 02:22 | Nová verze

    Po 9 týdnech vývoje od vydání Linuxu 6.14 oznámil Linus Torvalds vydání Linuxu 6.15. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna a Linux Kernel Newbies.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (54%)
     (31%)
     (8%)
     (3%)
     (0%)
     (0%)
     (4%)
    Celkem 133 hlasů
     Komentářů: 11, poslední dnes 15:10
    Rozcestník

    Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

    V diskusním listu Full Disclosure byl popsán postup, jak může útočník pomocí ssh a zranitelnosti CVE-2016-6210 v OpenSSH zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem. V případě, že je povolena autentizace jménem a heslem, zkouší útočník uživatelská jména a dlouhá 10 kB hesla. V případě, že účet s daným jménem na počítači neexistuje, samozřejmě není o tom útočník hned informován, ale spouští se kód, kde se provádí šifrování hesla pomocí šifry Blowfish. V případě, že účet na počítači existuje, vypočítává se obvykle SHA256 nebo SHA512 otisk hesla. Výpočet otisku u tak dlouhého hesla trvá déle než šifrování hesla. Pokud tedy útočník dostane odpověď do určitého času, tak účet s daným uživatelským jménem neexistuje.

    18.7.2016 13:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Ruža Becelin avatar 18.7.2016 14:37 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    No nevim, zkousel jsem ten PoC kod a ty casy mi vysly dost blizko u sebe...
    18.7.2016 23:41 j
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Chmm, pekna hypoteza ... fungujici s nejakou pravdepodobnosti mozna v labu. A ted k realite netu ... rek bych, ze radove vic rychlost reakce ovlivni sit jako takova.
    19.7.2016 11:47 hnmpr
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Nevím jestli jsi se díval na kód v odkazu, je tam zmíněno:

    *** when TCP timestamp option is enabled the best way to measure the time would be using timestamps from the TCP packets of the server, since this will eliminate any network delays on the way.
    19.7.2016 22:40 j
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Stejne je to knicemu, ze tam existuje root vim, a nepotrebuju nic scanovat, ze ... a rek bych, ze daleko efektivnejsi bude si strelit prijmeni administratoru jako dalsi ucty ... pripadne dalsi podobny akce. Nez zkouset random nejaky slovniky.
    20.7.2016 02:25 Sten
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Na naprosté většině distribucí je přednastaveno PermitRootLogin without-password, takže znalost existence roota vám v brute-force útoku nepomůže. Zjištění, jestli uživatel, u kterého se snažíte brute-forceovat heslo, existuje, dost pomůže snížit náročnost takového útoku.
    20.7.2016 20:27 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Především je holý nerozum mít autentizaci heslem povolenou pro jakéhokoli uživatele. Spíš by bylo zajímavé, jestli je měřitelný časový rozdíl mezi existujícím a neexistujícím uživatelem i při použití autentizace klíčem.
    21.7.2016 04:21 Sten
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Docela pochybuju, že by to šlo, alespoň ne stejným způsobem, tenhle útok používá velmi dlouhé heslo, ale u klíčů generuje challenge server.

    Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.
    Jendа avatar 21.7.2016 09:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.
    Záleží na distribuci ;-)
    ⧠ A = 0 avatar 22.7.2016 09:53 ⧠ A = 0 | skóre: 11 | blog: Technokratovo_zrcadlo | Helsinki
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Příloha:
    Hustě. Kvalita a pokrytí lokalisace někdy dokáže překvapit.

    (Koukám, že tohle se bude Debianu omlacovat o hlavu asi ještě za dvacet let.)
    Nevolte zmrdy.
    20.7.2016 10:32 martin-ux
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    striktne povedane neviete naisto, ze je tam root .. viete len, ze je tam user s uid 0.
    20.7.2016 23:30 martin-ux
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Este pridam aj linku na exploit: https://www.exploit-db.com/exploits/40136/

    Samozrejme, ze niekedy je potrebne aby user mal heslo a nie ; tvrdit opak je nonsense. Co som na svoje servre tak to sedelo pekne.

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.