[PLUTO-security] OpenSSH/PAM timing attack allows remote users identification

Stefano Callegari stefano at omniluxlighting.it
Tue May 6 14:12:10 CEST 2003


Il 06mag 09:08, Tom aka 'Dido' scrisse:
> Posto un advisory su OpenSSH (notate che i ragazzi che lo hanno scoperto
> cono nostri conterranei!)
> 
> http://lab.mediaservice.net/advisory/2003-01-openssh.txt
> 

Ottimo lavoro (anche se sembra una di quelle scoperte del caso :-) )

Nel testo si menziona la suse come "not confirmed in the default
install" se usa pam.

Ho fatto una prova su una mia macchina nella LAN seguendo l'esempio
riportato, ma non ho rilevato alcuna differenza tra il valid_user e un
no_such_user.

Direi che, a titolo informativo, la suse (openssh 2.9.9p2, aggiornata
dopo l'ultimo advisory di suse) non sembra esserne affetta (risposta
immediata, non 2 sec), benchè sia dipendente da pam:

12:57:59 on stefano at tecnico:~ > rpm -q -R openssh       
[cut]
libpam.so.0  
[cut]

> Dido

Grazie per la segnalazione.

Ciao
-- 
Stefano Callegari <stefano at omniluxlighting.it>
Omnilux Srl
Via Frassanedo, 2 - I 35020 Villatora di Saonara (PD)
+39 049 8792281


More information about the pluto-security mailing list