bsdftpd-6.0-ssl-0.6.1-1 attack allows remote users identification]

Questo qaunto postato su bugtraq e pen-test:

    /During a pen-test we have notice how is easy to identify valid
    users on
    vulnerable systems, through a simple timing attack.

    When I try to connect to ftp without ssl using a unreal user with
    bad password I get
    immediatly response of incorrect login, when I use real user with bad
    password I get 2 second of wait before get message of incorrect login.

    It seems to be very nice to the recent CAN-2003-0190 about OpenSSH/PAM
    timing attack allows remote users identification

    I have tested this on Linux RH 7.3 and RH 8.0

    I belive the vulnerability is easy to exploit and may have high
    severity, if combined with poor password policies and other security
    problems that allow local privilege escalation.


    Alessandro Fiorenzi  / /aka netexpress
    /

Ho sottoposto il problema a Raptor che aveva individuato un problema 
analogo su OpenSSH/PAM CAN-2003-0190./
/Queste le sue osservazioni:/
/

    /A quanto vedo si tratta sostanzialmente dello stesso problema,
    riscontrato
    pero' su software differente. Ci sono fondamentalmente 2 modi per
    "risolvere" (leggi: "mitigare") il problema:

    1) Seguire il workaround da noi proposto, eliminando cosi' il delay
    di 2 secondi introdotto da PAM.

    2) Patchare il codice vulnerabile, in modo analogo a quanto fatto da
    Solar Designer e dal team di OpenSSH, modificando il code path
    relativo all'autenticazione. In altre parole: richiamare sempre
    PAM auth anche per utenze inesistenti/illegali.
    /

/

/
Grazie a Raptor per il suo aiuto e buon lavoro a tutti/

Alessandro Fiorenzi

/



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List