[PLUTO-security] OpenSSH/PAM timing attack allows remote users identification

[Stefano Callegari]

Il 06May 14:54, Tom aka 'Dido' scrisse:
> 
> > Ottimo lavoro (anche se sembra una di quelle scoperte del caso :-) )
> Nel senso di "casuale"? 

Si, scusa.

> > Nel testo si menziona la suse come "not confirmed in the default
> > install" se usa pam.
> 
> Se ho ben capito, Il fatto che il pacchetto sia dipendente da PAM non
> significa che sia affetta... Un conto sono le dipendenze dei pacchetti,
> un conto è che l'autenticazione avvenga tramite PAM. 
> Io confermo che la mia RH 9.0 lo è, e se guardi /etc/pam.d/system-auth

Non ce l'ho! Ho sshd ma è completamente diverso da quello riportato nel
testo.

> vedi anche che il parametro "nodelay" non è presente. Forse in Suse si;
> anzi, sarei proprio curioso di saperlo: mi togli il dubbio?

Questo è il mio /etc/pam.d/sshd

#%PAM-1.0
auth     required       pam_unix.so     # set_secrpc
auth     required       pam_nologin.so
auth     required       pam_env.so
account  required       pam_unix.so
password required       pam_pwcheck.so use_cracklib
password required       pam_unix.so       use_first_pass use_authtok
session  required       pam_unix.so     none # trace or debug
session  required       pam_limits.so

Non so molto di pam e quindi non posso commentartelo (han fatto tutto
loro). L'unico scontro con pam, se ti ricordi, è stata la volta della
masterizzazione con Gnome/RH8.0 e già quella volta mi ha poco convinto
:-|

Ma è davvero utile questo pam?

Ciao
-- 
Stefano Callegari <stefano at omniluxlighting.it>
Omnilux Srl
Via Frassanedo, 2 - I 35020 Villatora di Saonara (PD)
+39 049 8792281