abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:55 | Pozvánky

    Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 210. sraz, který proběhne 20. června od 18:00 v Red Hat Labu na Fakultě informatiky Masarykovy univerzity na adrese Botanická 68A nebo také online.

    Ladislav Hagara | Komentářů: 0
    dnes 14:33 | Nová verze

    Byla vydána nová verze 17 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v changelogu.

    Ladislav Hagara | Komentářů: 0
    dnes 12:00 | Nová verze

    Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 25.05.0. Přehled novinek v poznámkách k vydání. Nově je implementováno standardizované simulační rozhraní ROS (Robot Operating System) 2.

    Ladislav Hagara | Komentářů: 0
    včera 22:44 | Bezpečnostní upozornění

    Nejnovější X.Org X server 21.1.17 a Xwayland 24.1.7 řeší 6 bezpečnostních chyb: CVE-2025-49175, CVE-2025-49176, CVE-2025-49177, CVE-2025-49178, CVE-2025-49179 a CVE-2025-49180. Nils Emmerich je nalezl koncem března a dnes publikoval detaily.

    Ladislav Hagara | Komentářů: 0
    včera 14:33 | Nová verze

    Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.4 (Mastodon). Přehled novinek i s videi a se snímky obrazovek v oficiálním oznámení. Podrobný přehled v seznamu změn.

    Ladislav Hagara | Komentářů: 0
    včera 10:11 | Komunita

    UN Open Source Week 2025 probíhá tento týden v sídle Organizace spojených národů v New Yorku. Středeční a čtvrteční jednání bude možné sledovat na UN Web TV.

    Ladislav Hagara | Komentářů: 1
    včera 03:55 | Nová verze

    Byla vydána nová verze 2.50.0 distribuovaného systému správy verzí Git. Přispělo 98 vývojářů, z toho 35 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    16.6. 21:55 | Zajímavý článek

    Infrastrukturu pro chatovací aplikaci Telegram provozuje člověk s vazbami na ruské zpravodajské služby. Upozorňují na to investigativní novináři z redakce iStories. „Vedneev dodává služby ruskému státu včetně jeho jaderného institutu nebo zpravodajské službě FSB,“ říká v podcastu Antivirus novinář Jan Cibulka. Uživatelům, kteří si chtějí své informace chránit, doporučuje Telegram vůbec nepoužívat, a raději zvolit jednu z alternativ, WhatsApp nebo Signal.

    Ladislav Hagara | Komentářů: 37
    16.6. 18:33 | IT novinky

    The Trump Organization spustila ve Spojených státech mobilní síť Trump Mobile s neomezeným tarifem The 47 Plan za 47,45 dolarů měsíčně a představila vlastní značku telefonů The T1 Phone s Androidem za 499 dolarů.

    Ladislav Hagara | Komentářů: 21
    16.6. 15:00 | Zajímavý článek

    Vývojáři KiCadu se na svém blogu rozepsali o problémech KiCadu v desktopových prostředích nad Waylandem. KiCad běží, ale s významnými omezeními a problémy, které podstatně zhoršují uživatelský komfort a vývojáři je nedokážou vyřešit na úrovni KiCadu. Pro profesionální používání doporučují desktopová prostředí nad X11.

    Ladislav Hagara | Komentářů: 10
    Jaký je váš oblíbený skriptovací jazyk?
     (57%)
     (30%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 279 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

    V diskusním listu Full Disclosure byl popsán postup, jak může útočník pomocí ssh a zranitelnosti CVE-2016-6210 v OpenSSH zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem. V případě, že je povolena autentizace jménem a heslem, zkouší útočník uživatelská jména a dlouhá 10 kB hesla. V případě, že účet s daným jménem na počítači neexistuje, samozřejmě není o tom útočník hned informován, ale spouští se kód, kde se provádí šifrování hesla pomocí šifry Blowfish. V případě, že účet na počítači existuje, vypočítává se obvykle SHA256 nebo SHA512 otisk hesla. Výpočet otisku u tak dlouhého hesla trvá déle než šifrování hesla. Pokud tedy útočník dostane odpověď do určitého času, tak účet s daným uživatelským jménem neexistuje.

    18.7.2016 13:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Ruža Becelin avatar 18.7.2016 14:37 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    No nevim, zkousel jsem ten PoC kod a ty casy mi vysly dost blizko u sebe...
    18.7.2016 23:41 j
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Chmm, pekna hypoteza ... fungujici s nejakou pravdepodobnosti mozna v labu. A ted k realite netu ... rek bych, ze radove vic rychlost reakce ovlivni sit jako takova.
    19.7.2016 11:47 hnmpr
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Nevím jestli jsi se díval na kód v odkazu, je tam zmíněno:

    *** when TCP timestamp option is enabled the best way to measure the time would be using timestamps from the TCP packets of the server, since this will eliminate any network delays on the way.
    19.7.2016 22:40 j
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Stejne je to knicemu, ze tam existuje root vim, a nepotrebuju nic scanovat, ze ... a rek bych, ze daleko efektivnejsi bude si strelit prijmeni administratoru jako dalsi ucty ... pripadne dalsi podobny akce. Nez zkouset random nejaky slovniky.
    20.7.2016 02:25 Sten
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Na naprosté většině distribucí je přednastaveno PermitRootLogin without-password, takže znalost existence roota vám v brute-force útoku nepomůže. Zjištění, jestli uživatel, u kterého se snažíte brute-forceovat heslo, existuje, dost pomůže snížit náročnost takového útoku.
    20.7.2016 20:27 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Především je holý nerozum mít autentizaci heslem povolenou pro jakéhokoli uživatele. Spíš by bylo zajímavé, jestli je měřitelný časový rozdíl mezi existujícím a neexistujícím uživatelem i při použití autentizace klíčem.
    21.7.2016 04:21 Sten
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Docela pochybuju, že by to šlo, alespoň ne stejným způsobem, tenhle útok používá velmi dlouhé heslo, ale u klíčů generuje challenge server.

    Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.
    Jendа avatar 21.7.2016 09:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.
    Záleží na distribuci ;-)
    ⧠ A = 0 avatar 22.7.2016 09:53 ⧠ A = 0 | skóre: 11 | blog: Technokratovo_zrcadlo | Helsinki
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Příloha:
    Hustě. Kvalita a pokrytí lokalisace někdy dokáže překvapit.

    (Koukám, že tohle se bude Debianu omlacovat o hlavu asi ještě za dvacet let.)
    Nevolte zmrdy.
    20.7.2016 10:32 martin-ux
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    striktne povedane neviete naisto, ze je tam root .. viete len, ze je tam user s uid 0.
    20.7.2016 23:30 martin-ux
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Este pridam aj linku na exploit: https://www.exploit-db.com/exploits/40136/

    Samozrejme, ze niekedy je potrebne aby user mal heslo a nie ; tvrdit opak je nonsense. Co som na svoje servre tak to sedelo pekne.

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.