abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 13:22 | IT novinky

    Operátor O2 má opět problémy. Jako omluvu za pondělní zhoršenou dostupnost služeb dal všem zákazníkům poukaz v hodnotě 300 Kč na nákup telefonu nebo příslušenství.

    Ladislav Hagara | Komentářů: 0
    dnes 05:55 | IT novinky

    Společnost OpenAI představila GPT-5 (YouTube).

    Ladislav Hagara | Komentářů: 0
    dnes 05:00 | Nová verze

    Byla vydána (𝕏) červencová aktualizace aneb nová verze 1.103 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.103 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    včera 17:33 | IT novinky

    Americký prezident Donald Trump vyzval nového generálního ředitele firmy na výrobu čipů Intel, aby odstoupil. Prezident to zdůvodnil vazbami nového šéfa Lip-Bu Tana na čínské firmy.

    Ladislav Hagara | Komentářů: 7
    včera 16:55 | Nová verze

    Bylo vydáno Ubuntu 24.04.3 LTS, tj. třetí opravné vydání Ubuntu 24.04 LTS s kódovým názvem Noble Numbat. Přehled novinek a oprav na Discourse.

    Ladislav Hagara | Komentářů: 0
    včera 16:44 | Nová verze

    Byla vydána verze 1.89.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    včera 12:22 | IT novinky

    Americká technologická společnost Apple uskuteční v USA další investice ve výši sta miliard dolarů (2,1 bilionu korun). Oznámil to ve středu šéf firmy Tim Cook při setkání v Bílém domě s americkým prezidentem Donaldem Trumpem. Trump zároveň oznámil záměr zavést stoprocentní clo na polovodiče z dovozu.

    Ladislav Hagara | Komentářů: 4
    včera 04:55 | Nová verze

    Zálohovací server Proxmox Backup Server byl vydán v nové stabilní verzi 4.0. Založen je na Debianu 13 Trixie.

    Ladislav Hagara | Komentářů: 0
    6.8. 16:33 | Nová verze

    Byla vydána nová verze 1.54.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Jan Václav.

    Ladislav Hagara | Komentářů: 0
    6.8. 14:11 | IT novinky

    Knižní edice správce české národní domény přináší novou knihu zkušeného programátora Pavla Tišnovského s názvem Programovací jazyk Go. Publikace nabízí srozumitelný a prakticky zaměřený pohled na programování v tomto moderním jazyce. Nejedná se však o klasickou učebnici, ale spíše o průvodce pro vývojáře, kteří s Go začínají, nebo pro ty, kdo hledají odpovědi na konkrétní otázky či inspiraci k dalšímu objevování. Tištěná i digitální verze knihy je již nyní k dispozici u většiny knihkupců.

    Ladislav Hagara | Komentářů: 2
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (44%)
     (22%)
     (4%)
     (6%)
     (3%)
     (1%)
     (1%)
     (19%)
    Celkem 292 hlasů
     Komentářů: 23, poslední 4.8. 13:01
    Rozcestník

    Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

    V diskusním listu Full Disclosure byl popsán postup, jak může útočník pomocí ssh a zranitelnosti CVE-2016-6210 v OpenSSH zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem. V případě, že je povolena autentizace jménem a heslem, zkouší útočník uživatelská jména a dlouhá 10 kB hesla. V případě, že účet s daným jménem na počítači neexistuje, samozřejmě není o tom útočník hned informován, ale spouští se kód, kde se provádí šifrování hesla pomocí šifry Blowfish. V případě, že účet na počítači existuje, vypočítává se obvykle SHA256 nebo SHA512 otisk hesla. Výpočet otisku u tak dlouhého hesla trvá déle než šifrování hesla. Pokud tedy útočník dostane odpověď do určitého času, tak účet s daným uživatelským jménem neexistuje.

    18.7.2016 13:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Ruža Becelin avatar 18.7.2016 14:37 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    No nevim, zkousel jsem ten PoC kod a ty casy mi vysly dost blizko u sebe...
    18.7.2016 23:41 j
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Chmm, pekna hypoteza ... fungujici s nejakou pravdepodobnosti mozna v labu. A ted k realite netu ... rek bych, ze radove vic rychlost reakce ovlivni sit jako takova.
    19.7.2016 11:47 hnmpr
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Nevím jestli jsi se díval na kód v odkazu, je tam zmíněno:

    *** when TCP timestamp option is enabled the best way to measure the time would be using timestamps from the TCP packets of the server, since this will eliminate any network delays on the way.
    19.7.2016 22:40 j
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Stejne je to knicemu, ze tam existuje root vim, a nepotrebuju nic scanovat, ze ... a rek bych, ze daleko efektivnejsi bude si strelit prijmeni administratoru jako dalsi ucty ... pripadne dalsi podobny akce. Nez zkouset random nejaky slovniky.
    20.7.2016 02:25 Sten
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Na naprosté většině distribucí je přednastaveno PermitRootLogin without-password, takže znalost existence roota vám v brute-force útoku nepomůže. Zjištění, jestli uživatel, u kterého se snažíte brute-forceovat heslo, existuje, dost pomůže snížit náročnost takového útoku.
    20.7.2016 20:27 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Především je holý nerozum mít autentizaci heslem povolenou pro jakéhokoli uživatele. Spíš by bylo zajímavé, jestli je měřitelný časový rozdíl mezi existujícím a neexistujícím uživatelem i při použití autentizace klíčem.
    21.7.2016 04:21 Sten
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Docela pochybuju, že by to šlo, alespoň ne stejným způsobem, tenhle útok používá velmi dlouhé heslo, ale u klíčů generuje challenge server.

    Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.
    Jendа avatar 21.7.2016 09:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.
    Záleží na distribuci ;-)
    ⧠ A = 0 avatar 22.7.2016 09:53 ⧠ A = 0 | skóre: 11 | blog: Technokratovo_zrcadlo | Helsinki
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Příloha:
    Hustě. Kvalita a pokrytí lokalisace někdy dokáže překvapit.

    (Koukám, že tohle se bude Debianu omlacovat o hlavu asi ještě za dvacet let.)
    Nevolte zmrdy.
    20.7.2016 10:32 martin-ux
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    striktne povedane neviete naisto, ze je tam root .. viete len, ze je tam user s uid 0.
    20.7.2016 23:30 martin-ux
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Este pridam aj linku na exploit: https://www.exploit-db.com/exploits/40136/

    Samozrejme, ze niekedy je potrebne aby user mal heslo a nie ; tvrdit opak je nonsense. Co som na svoje servre tak to sedelo pekne.

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.