PreguntasLinux / GNU/Linux / Seguridad / Respuesta a consulta... (solucionado)

Tema Cerrado  Enviar Tema 
Respuesta a consulta... (solucionado)
Autor Mensaje
Hermes
El Alquimista


Mensajes: 461
Grupo: Registrado
Registro en: May 2005
Estado: Sin Conexión
Reputación: 8
Mensaje: #1
Respuesta a consulta... (solucionado)

Les transcibo una pregunta que me hicieron mediante MP y la respuesta para todos los que esten interesados en el tema...

Código:
Hola, Buenos dias.
Te hago una consulta, Acerca de lo que publicas en el foro de la opcion GSSAPIDelegateCredentials en ssh...
Te pido por favor si seria tan amable de explicarme que debo setear para eliminar esa bulnerabilidad.

en /etc/ssh/ssh_config tengo seteado lo siguiente:
Host 10.54.*
GSSAPIAuthentication yes
ForwardX11Trusted yes

y en /etc/ssh/sshd_config
Protocol 2
SyslogFacility AUTHPRIV
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials no
UsePAM yes
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server

el reporte de vulnerabilidad que tengo es el siguiente:

Name
OpenSSH GSSAPIDelegateCredentials Enabled

Description
OpenSSH contains a vulnerability when GSSAPIDelegateCredentials is enabled allowing credentials to be exposed to incorrect
users.
Observation
OpenSSH is a freely available Secure Shell daemon available for many UNIX variants.
When GSSAPIDelegateCredentials is enabled a vulnerability occurs allowing credentials to be exposed to incorrect users.
GSSAPIDelegateCredentials enables GSSAPI credentials to be delegated to clients who log in using non-GSSAPI methods.

Desde ya muchisimas gracias por tu ayuda
Disculpa las molestias,

Saludos
Fernando

Bueno, por lo pronto te cuento que esta vulnerabilidad puede terminar en una "escalada de privilegios", es decir, lograr acceder a un sistema con un usuario no privilegiado utilizando las "credenciales" de uno que tiene privilegios..
El grado de "peligrosidad" de la vulnerabildad se consiera MEDIO, es decir, no es para que te pongas paranoico pero toma recaudos... 1-wink

por lo que estuve viendo tiene 2 causas posibles:

1) los "GatewayPorts" son incorrectamente activados debido a un mal manejo del "dynamic port forwardings" cuando no se especifica una direccion de "escucha"...

2) un error en la forma en que se trata la delegacion de credenciales GSSAPI puede causar que un usuario NO privilegiado se loguee mediante delegacion GSSAPI aunque no la este usando..

para que pueda explotarse esta vulnerabilidad es necesario que "GSSAPIDelegateCredentials" se encuentre activado.

Solucion
1) si no estas usando esta caracteristica (autentificacion mediante "certificados") desactivala...

2) actualizate a la version 4.2p2 (este error fue patchado en la version 4.2p1, pero hay otras vulnerabilidades que aparecieron aparte de la que consultas)


Espero que te sirva la info...

Saludos!!...

/****
Si entendemos todo lo que estamos haciendo,
no estamos aprendiendo nada...
****/
09-27-2006 11:21 AM
Visita el website del usuario Encuentra todos los mensajes de este usuario
feer
Usuario PL


Mensajes: 2
Grupo: Registrado
Registro en: Sep 2006
Estado: Sin Conexión
Reputación: 0
Mensaje: #2
RE: [CONSULTA] Respuesta a consulta...

Hola Hermes,
Como te va?

Ante todo muchisimas gracias por la info que me pasaste.
Por el otro lado te pido por favor si podrias darme una mano diciendome que es lo que tengo que modificar para deshabilitar esta caract ya que no uso autentificacion mediante "certificados".
Te adjunto los ssh_config y sshd_config que tengo seteados.

Nuevamente muchas gracias,
Un Abrazo

Fernando



Archivo(s) Adjuntados
.txt File  ssh_config.txt (Tamaño: 1.84 KB / Descargas: 1)
.txt File  sshd_config.txt (Tamaño: 2.98 KB / Descargas: 1)
09-29-2006 11:15 AM
Encuentra todos los mensajes de este usuario
Hermes
El Alquimista


Mensajes: 461
Grupo: Registrado
Registro en: May 2005
Estado: Sin Conexión
Reputación: 8
Mensaje: #3
RE: [CONSULTA] Respuesta a consulta...

Feer, como estas?... te cuento que deshabilitas el soporte para GSSAPI poniendo el siguiente valor en los archivos de configuracion (del cliente y del servidor)...

GSSAPIAuthentication no

vi que lo tenes de esta manera asi que en tu caso ya estaria deshabilitado; igualmente te recomiendo que hagas una actualizacion del OpenSSH a la version mas reciente...

Espero que te haya servido la ayuda y bienvenido a PL!! 023


Saludos!!.. 1-wink

/****
Si entendemos todo lo que estamos haciendo,
no estamos aprendiendo nada...
****/
09-30-2006 05:07 PM
Visita el website del usuario Encuentra todos los mensajes de este usuario
feer
Usuario PL


Mensajes: 2
Grupo: Registrado
Registro en: Sep 2006
Estado: Sin Conexión
Reputación: 0
Mensaje: #4
RE: [CONSULTA] Respuesta a consulta...

Gracias!!!

Sabes que supuse que estaba seteado en off, pero me salta en un escaneo de seguridad que me hacen desde afuera.
Voy a actualizarlo y te cuento.

Saludos

10-06-2006 11:18 AM
Encuentra todos los mensajes de este usuario
Tema Cerrado  Enviar Tema 

Ver la Versión para Impresión
Mandar este Tema a algún Amigo
Subscríbete a este Tema | Agrega este Tema a Tus Favoritos
Salto de Foro:

Contáctanos | Portal de Noticias | Volver hacia Arriba | Volver al Contenido | Modo (Archivo) Ligero | Sindicación RSS