[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Frage zur SSH Kennung

Hi Joerg!

On Wed, 6 Jul 2005, Joerg Zimmermann wrote:
> Andreas Pakulat wrote:
> > On 06.Jul 2005 - 21:23:25, Joerg Zimmermann wrote:
> >>Vielleicht dass ein potenzieller Angreifer nicht alle relevanten
> >>Informationen frei Haus geliefert bekommt.
> >
> >
> > So ein Unfug ;-)
> >
> > Sowas nennt man "Security by Obscurity" und hilft i.A. nichts, ausser
> > vllt. dich in Sicherheit zu wiegen. Du glaubst doch nicht das sich
> > jemand hinsetzt und raussucht welche Sicherheitsluecken in dem
> > Debian-Paket vllt. noch nicht gefixt sind? Man nehme einfach die
> > ssh-Version und teste alle bekannten Sicherheitsluecken dieser Version -
> > kein Problem und dauert vermutlich nicht mal halb so lange. Und wenn SSH
> > seine Version auch nicht melden wuerde, wuerde ich rueckwaert arbeiten
> > und mit den neuesten Sicherheitsluecken anfangen, auf die Art findet man
> > auch sehr schnell das Loch.
>
> siehe meine andere Mail. Das _ist_ Unfug.
>
> Es geht hier im Übrigen nicht um die Info 'SSH Version'. Die ist
> unvermeidlich, naja nicht wirklich, aber damit könnte man leben. Es
> geht schlicht um folgendes:
>
> Wenn ich als Angreifer weiss, welches Betriebssystem in welcher
> Version bei Dir läuft, dann weiss ich auch wo ich den Hebel ansetzen
> muss. Das muss dann nicht SSH sein. Das könnte auch Dein Kernel sein,
> Dein PAM, Dein what ever.
>
> Und das Ganze nur weil Dein SSH-Server 'loud und proud' tönt ich
> bin's, hier läuft Debian. _Mach_ _mich_ _auf_ oder was? Das ist doch
> unnötig und muss nicht sein.

So unsinnig sind Deine Ausfuehrungen nicht, aber genau betrachtet muss ich
Dir widersprechen.

Was soll Upstream denn sagen, wenn die ersten Bugreports reintrudeln, dass
dieser und jener SSH-Server mit einem anderen SSH-Client nicht geht? Und
sich dann nach langem trara herausstellt, dass unter Debian zwar lauter
neue Patches eingespielt wurden, aber das nicht bei der Kommunikation
zwischen Client und Server mitgeteilt wird? Die wuerden sich bedanken ...

Und bedenke bitte: bei einem Release-Zyklus von zuletzt fast 3 Jahren muss
man schon aus Sicherheitsgruenden einige Patches einspielen. Dass sich da
die Verhaltensweise des SSH aendern kann, ist klar, dass das dokumentiert
werden muss, auch.

Wuerde Debian stets der OpenSSH-Version von OpenBSD folgen (d.h. _auch_ in
stable, nicht nur in testing/sid), muesste man nichts an der Version
aendern, da hast Du recht. Das ist aber nicht praktikabel, aus
Sicherheitsgruenden sowieso.

MfG Jens
Reply to: