yersinia wrote: > On Wed, Feb 11, 2009 at 1:41 PM, Marco Bonetti > <[email protected]> wrote: >> On Wed, February 11, 2009 10:44, Roberto Marras wrote: >>> Io non sono riuscito a trovare nulla e mi piacerebbe trovare qualche >>> sorgente... >> a quanto pare, non sei l'unico: >> + http://www.openssh.com/security.html >> + http://www.openssh.com/txt/cbc.adv >> ha fatto un po di polverone quando è uscito e, stranissimo, ero convinto >> se ne fosse parlato pure qua, invece sembra di no :) >> >> ciao >> > > In realtà il problema presentato - che poi discende da un requisito > delle RFC del protocollo SSH che prevede l'uso del CBC - non viene per > nulla ritenuto grave, di bassa applicabilità in qualunque sistema di > produzione. E' ben diverso dal CRC compensation attack di ssh1 ad > esempio. Comunque anche qualche vendor (ad es. redhat ) lo reputa di > basso profilo e non ha prodotto errata neanche per l'sshd_config di > default. Questo a dire che mi risulta difficile immaginare che > qualcuno si metta a scrivere un qualcosa di molto poco applicabile, ma > certo il mondo è vario. L'unico inconveniente sono i vari prodotti di > pen-test che potrebbero definire l'attacco medium, con tutte le > conseguenze di perdita di tempo: nel dubbio ho definito i Ciphers di > sshd_config escludendo il cbc modo dell'aes. > > Ciao > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
Ecco, chiedo scusa se rasento l'OT ma... nel mio ssh_config ho: Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc Forse non ho capito bene ma se dovessi eliminare tutti i modi CBC resterei con l'algoritmo arcfour.... Dov'e' l'inghippo? Magari sono sensibili solo i modi aesxxx-cbc? Grazie -- "Any society that would give up a little liberty to gain a little security will deserve neither and lose both." -Benjamin Franklin Alberto Guglielmo a.guglielmo<at>tcpsas.com Key Fingerprint:7EAF 9E34 2838 7C6B EE47 E8F0 FFC5 3CBC 90AA 5EEE Key ID: 0x90AA5EEE GPG/PGP keys at: http://pgpkeys.mit.edu/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
