ubuntuusers.de

CVE-2024-6387 Problem nach SSH-update?

Status: Gelöst | Ubuntu-Version: Ubuntu 22.04 (Jammy Jellyfish)
Antworten |

michaelz

Anmeldungsdatum:
25. Oktober 2013

Beiträge: 243

Hallo, ich hab vorhing mal SSH upgedatet so wie in CVE-2024-6387 empfohlen Siehe: https://ubuntu.com/blog/ubuntu-regresshion-security-fix

Das habe ich dann mit dem Befehl gemacht:

sudo apt update && sudo apt install openssh-server

Anschliessend habe ich die SSH-Version nochmal geprüft, hat sich aber nix geändert:

ssh -v localhost
OpenSSH_8.9p1 Ubuntu-3ubuntu0.10, OpenSSL 3.0.2 15 Mar 2022
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug1: Connecting to localhost [127.0.0.1] port 22.
debug1: Connection established.
debug1: identity file /home/USERNAME/.ssh/id_rsa type -1
debug1: identity file /home/USERNAME/.ssh/id_rsa-cert type -1
debug1: identity file /home/USERNAME/.ssh/id_ecdsa type -1
debug1: identity file /home/USERNAME/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/USERNAME/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/USERNAME/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/USERNAME/.ssh/id_ed25519 type -1
debug1: identity file /home/USERNAME/.ssh/id_ed25519-cert type -1
debug1: identity file /home/USERNAME/.ssh/id_ed25519_sk type -1
debug1: identity file /home/USERNAME/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/USERNAME/.ssh/id_xmss type -1
debug1: identity file /home/USERNAME/.ssh/id_xmss-cert type -1
debug1: identity file /home/USERNAME/.ssh/id_dsa type -1
debug1: identity file /home/USERNAME/.ssh/id_dsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.9p1 Ubuntu-3ubuntu0.10
debug1: Remote protocol version 2.0, remote software version OpenSSH_8.9p1 Ubuntu-3ubuntu0.10
debug1: compat_banner: match: OpenSSH_8.9p1 Ubuntu-3ubuntu0.10 pat OpenSSH* compat 0x04000000
debug1: Authenticating to localhost:22 as 'USERNAME'
debug1: load_hostkeys: fopen /home/USERNAME/.ssh/known_hosts: No such file or directory
debug1: load_hostkeys: fopen /home/USERNAME/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:QZUEoYDp5n9OR3uBwmzVZKYVGB0+uPcU9tfBFfTNN5g
debug1: load_hostkeys: fopen /home/USERNAME/.ssh/known_hosts: No such file or directory
debug1: load_hostkeys: fopen /home/USERNAME/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: hostkeys_find_by_key_hostfile: hostkeys file /home/USERNAME/.ssh/known_hosts does not exist
debug1: hostkeys_find_by_key_hostfile: hostkeys file /home/USERNAME/.ssh/known_hosts2 does not exist
debug1: hostkeys_find_by_key_hostfile: hostkeys file /etc/ssh/ssh_known_hosts does not exist
debug1: hostkeys_find_by_key_hostfile: hostkeys file /etc/ssh/ssh_known_hosts2 does not exist
The authenticity of host 'localhost (127.0.0.1)' can't be established.
ED25519 key fingerprint is SHA256:qwertzuiop123456789.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? 

Wasn nun? Was läuft falsch? Oder was muss ich denn noch machen jetzt? yes, no, fingerprint?

Muss ich den Fingerprint (qwertzuiop123456789) nehmen der dort angegeben ist und den dann im Terminal dort eintragen damit die Verzeichnisse erstellt werden usw? Weil die ja laut Ausgabe nicht existieren (No such file or directory)

micneu

Avatar von micneu

Anmeldungsdatum:
19. Januar 2021

Beiträge: 828

Wohnort: Hamburg

Moin, mal eine ganz doofe frage. Warum installierts du nur das OpenSSH update. Ich habe es vor 2 Wochen schon einfach die ganze Kiste, alle Updates gemacht und gut ist Warum machst du nur OpenSSH? warum machst du nicht einfach ein:

dpkg -l | grep openssh

da wird dir alles wichtige ausgegeben, ganz einfach.

michaelz

(Themenstarter)

Anmeldungsdatum:
25. Oktober 2013

Beiträge: 243

micneu schrieb:

Moin, mal eine ganz doofe frage. Warum installierts du nur das OpenSSH update. Ich habe es vor 2 Wochen schon einfach die ganze Kiste, alle Updates gemacht und gut ist Warum machst du nur OpenSSH? warum machst du nicht einfach ein:

dpkg -l | grep openssh

da wird dir alles wichtige ausgegeben, ganz einfach.

Ich habe natürlich alle Updates gemacht. Auch heute. Aber für dies SSH-Problem gabs offenbar kein Update, die SSH-Version ist immer noch dieselbe geblieben. Daher habe ich versucht das SSH selbst nochmal upzudaten. Ist aber auch immer noch dieselbe Version 8.9p1

Dann brauche ich das

ED25519 key fingerprint is SHA256:qwertzuiop123456789.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? 

nicht weiter beachten?

Die ausgabe von grep ist:

dpkg -l | grep openssh
ii  openssh-client                             1:8.9p1-3ubuntu0.10                               amd64        secure shell (SSH) client, for secure access to remote machines
ii  openssh-server                             1:8.9p1-3ubuntu0.10                               amd64        secure shell (SSH) server, for secure access from remote machines
ii  openssh-sftp-server                        1:8.9p1-3ubuntu0.10                               amd64        secure shell (SSH) sftp server module, for SFTP access from remote machines

michaelz

(Themenstarter)

Anmeldungsdatum:
25. Oktober 2013

Beiträge: 243

Was neues.

Hab vorhin erst geschnallt das es auch ne neue LTS-Version gibt. In den Aktualisierungen wurde mir die nicht angezeigt, ich hatte wohl mal in den Einstellungen "Für neue Langzeitunterstützung-Versionen" eingestellt. Weil mir sonst immer alle Updates auch für nicht-LTS angezeigt wurden. Aber jetzt wurd die aktuelle LTS-Version garnicht angezeigt.

Wie auch immer, Jetzt habe ich auf 24.04.LTs upgegraded und auch alle Updates drauf. SSH hat jetzt Version 9.6p1.

Also immer noch eine Version mit dem CVE-2024-6387 Problem Regresshion.

trollsportverein

Avatar von trollsportverein

Anmeldungsdatum:
21. Oktober 2010

Beiträge: 5026

Wie man die Paketversion anzeigten lässt, hat micneu bereits gezeigt.

Die OpenSSH Version mit ssh im Terminal anzeigen lassen ist mit diesem Schalter möglich, ohne sich mit ssh von localhost auf den localhost zu verbinden, was normalerweise nicht notwendig ist, so sich der localhost gegenüber dem localhost auch für gewöhnlich noch nicht authentifiziert hat:

ssh -V

Der CVE-2024-6387 Fix wurde am 1 Juli 2024 veröffentlicht:

Danach gab es noch den Fix für CVE-2024-39894, der am 2 Juli 2024 veröffentlicht wurde:

Von CVE-2024-6409 ist bis Noble Numbat kein Ubuntu Release betroffen:

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 9754

Wohnort: Münster

michaelz schrieb:

[…] Siehe: https://ubuntu.com/blog/ubuntu-regresshion-security-fix

[…] Anschliessend habe ich die SSH-Version nochmal geprüft, hat sich aber nix geändert

Warum sollte sich durch ein Update innerhalb einer Ubuntu-Version die Programmversion ändern?

Im Gegenteil: Ubuntu garantiert, das sich innerhalb einer Ubuntu-Version die Programmversionen nie ändern, ausgenommen bei HWE-Systemen Kernel und Grafik-Stack und generell Firefox. Was sich bei einem Update ändert, ist nicht die Programmversion, sondern die Paketversion, wobei dann die spätere Paketversion hoffentlich die zwischenzeitlich bekannt gewordenen Sicherheitsprobleme berücksichtigt – in Deinem Fall wurde genau das in dem von Dir verlinkten Artikel versprochen.

michaelz

(Themenstarter)

Anmeldungsdatum:
25. Oktober 2013

Beiträge: 243

Auweia. Danke Hab tatsächlich ssh -v ausprobiert und das ging nicht, da hab ich dann nach der nächsten Möglichkeit gegoogelt. Das ich ein grosses V benötige... bin ich nicht drauf gekommen.

Gut, es gab also einen Fix für das ssh. Dann hoffe ich mal das der Fix nicht aus diesem dings besteht... wo das dann für andere Angriffe offen ist.

Programmversion / Paketversion. Ja hast Recht, da ist ein Unterschied, sieht man ja im Teeminal bei Installationen. Aber das man dann auch kein Update bzw. neuere/andere Version eines Programmes bekommt ist mir tatsächlich vollkommen neu.

encbladexp Team-Icon

Ehemaliger
Avatar von encbladexp

Anmeldungsdatum:
16. Februar 2007

Beiträge: 17524

michaelz schrieb:

Aber das man dann auch kein Update bzw. neuere/andere Version eines Programmes bekommt ist mir tatsächlich vollkommen neu.

Ist bei allen LTS / Enterprise Distributionen so, teils werden sogar Security Fixed backported.

michaelz

(Themenstarter)

Anmeldungsdatum:
25. Oktober 2013

Beiträge: 243

Tjoa, so lernt man immer wieder was neues Danke euch fürs helfen.

Antworten |