abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:22 | Zajímavý software

    Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 1
    včera 19:55 | Nová verze

    Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    včera 14:44 | IT novinky

    Na Seznam nepovolených internetových her (Wikipedie) se k 13. 7. 2026 dostala predikční platforma Polymarket.

    Ladislav Hagara | Komentářů: 3
    včera 14:22 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 167 (pdf) a Hello World 30 (pdf).

    Ladislav Hagara | Komentářů: 0
    včera 00:44 | Nová verze

    Byla vydána nová verze 3.22.0 grafického vývojového prostředí a platformy Gambas (Wikipedie) založené na interpretru programovacího jazyka Basic s rozšířením o objektově orientované programování. Přehled novinek v poznámkách k vydání. Zdrojové kódy jsou k dispozici na GitLabu.

    Ladislav Hagara | Komentářů: 0
    15.7. 20:22 | Komunita

    FreeBSD odstranilo poslední GPL kód ze základního systému. Konkrétně dpv, libdpv, libfigpar a dialog. Instalátor před čtyřmi lety přešel z dialogu na bsddialog.

    Ladislav Hagara | Komentářů: 2
    15.7. 15:22 | IT novinky

    Sociální síti 𝕏 (dříve Twitter) má dnes 20 let. Pro veřejnost byla zpřístupněna 15. července 2006.

    Ladislav Hagara | Komentářů: 2
    15.7. 14:22 | Zajímavý software

    Insula Faktury je open source generátor faktur, který běží přímo ve webovém prohlížeči. Žádná registrace, žádné sledování, žádné omezení. Zdrojové kódy jsou k dispozici na Codebergu.

    Ladislav Hagara | Komentářů: 18
    15.7. 13:22 | Komunita

    První Mobile Linux Hackday v Plzni, tj. komunitní setkání věnované Linuxu na mobilních zařízeních, proběhne 24. července od 10:00. Akce je otevřená všem zájemcům – od zvědavců po zkušené vývojáře. Dopoledne proběhnou přednášky Davida Heidelberga a Petra Hodiny o aktuálním stavu mobilního Linuxu: proč vůbec chtít tučňáka v kapse, jaké telefony jsou dnes dobře podporované a co taková podpora obnáší. Po obědě se zaměříme na konkrétní

    … více »
    Ladislav Hagara | Komentářů: 0
    14.7. 19:33 | Nová verze

    3D software Blender byl vydán ve verzi 5.2 s prodlouženou podporou. Videopředstavení na YouTube.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (7%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (15%)
     (25%)
    Celkem 2147 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

    V diskusním listu Full Disclosure byl popsán postup, jak může útočník pomocí ssh a zranitelnosti CVE-2016-6210 v OpenSSH zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem. V případě, že je povolena autentizace jménem a heslem, zkouší útočník uživatelská jména a dlouhá 10 kB hesla. V případě, že účet s daným jménem na počítači neexistuje, samozřejmě není o tom útočník hned informován, ale spouští se kód, kde se provádí šifrování hesla pomocí šifry Blowfish. V případě, že účet na počítači existuje, vypočítává se obvykle SHA256 nebo SHA512 otisk hesla. Výpočet otisku u tak dlouhého hesla trvá déle než šifrování hesla. Pokud tedy útočník dostane odpověď do určitého času, tak účet s daným uživatelským jménem neexistuje.

    18.7.2016 13:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Ruža Becelin avatar 18.7.2016 14:37 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    No nevim, zkousel jsem ten PoC kod a ty casy mi vysly dost blizko u sebe...
    18.7.2016 23:41 j
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Chmm, pekna hypoteza ... fungujici s nejakou pravdepodobnosti mozna v labu. A ted k realite netu ... rek bych, ze radove vic rychlost reakce ovlivni sit jako takova.
    19.7.2016 11:47 hnmpr
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Nevím jestli jsi se díval na kód v odkazu, je tam zmíněno:

    *** when TCP timestamp option is enabled the best way to measure the time would be using timestamps from the TCP packets of the server, since this will eliminate any network delays on the way.
    19.7.2016 22:40 j
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Stejne je to knicemu, ze tam existuje root vim, a nepotrebuju nic scanovat, ze ... a rek bych, ze daleko efektivnejsi bude si strelit prijmeni administratoru jako dalsi ucty ... pripadne dalsi podobny akce. Nez zkouset random nejaky slovniky.
    20.7.2016 02:25 Sten
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Na naprosté většině distribucí je přednastaveno PermitRootLogin without-password, takže znalost existence roota vám v brute-force útoku nepomůže. Zjištění, jestli uživatel, u kterého se snažíte brute-forceovat heslo, existuje, dost pomůže snížit náročnost takového útoku.
    20.7.2016 20:27 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Především je holý nerozum mít autentizaci heslem povolenou pro jakéhokoli uživatele. Spíš by bylo zajímavé, jestli je měřitelný časový rozdíl mezi existujícím a neexistujícím uživatelem i při použití autentizace klíčem.
    21.7.2016 04:21 Sten
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Docela pochybuju, že by to šlo, alespoň ne stejným způsobem, tenhle útok používá velmi dlouhé heslo, ale u klíčů generuje challenge server.

    Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.
    Jendа avatar 21.7.2016 09:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.
    Záleží na distribuci ;-)
    ⧠ A = 0 avatar 22.7.2016 09:53 ⧠ A = 0 | skóre: 11 | blog: Technokratovo_zrcadlo | 上海
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Příloha:
    Hustě. Kvalita a pokrytí lokalisace někdy dokáže překvapit.

    (Koukám, že tohle se bude Debianu omlacovat o hlavu asi ještě za dvacet let.)
    Nevolte zmrdy.
    20.7.2016 10:32 martin-ux
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    striktne povedane neviete naisto, ze je tam root .. viete len, ze je tam user s uid 0.
    20.7.2016 23:30 martin-ux
    Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem
    Este pridam aj linku na exploit: https://www.exploit-db.com/exploits/40136/

    Samozrejme, ze niekedy je potrebne aby user mal heslo a nie ; tvrdit opak je nonsense. Co som na svoje servre tak to sedelo pekne.

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.