[uanog] sftp vulnerability?

Wed Sep 2 18:25:15 EEST 2020

Джентльмены,

Пасс хранится в виде хэша, который (алгоритм хэша) был задан в системе.

Сравнение происходит по схеме:

if(hash(password_given) == get_passwd_hash(user)) {prohodi}{nizya}

Нехватка символов приведет к другому хэшу.

Сравниваются хэши. Уже давно-давно-давно пароли не хранятся в виде, который позволяет реверс-инжиниринг из хэша методом, кроме брутфорса.

2 вересня 2020, 18:19:17, від "Volodymyr Litovka" <doka at xlit.one>:

Привіт,
не про це? - https://serverfault.com/questions/129137/what-is-the-longest-password-for-ssh

On 02.09.2020 13:26, Oleh Hrynchuk wrote:

Доброго дня всім, 
Стикнувся з тим, що в деяких випадках (кажу "деяких", бо не можу перевірити УСІ) sftp checks only the first 8 symbols in users passwords.
Тобто, якщо маємо, наприклад, юзера (login) test12 та пароль до нього 1234567890AaBb...,
то цього юзера пустить з БУДЬ-ЯКИМ паролем, котрий починається з 12345678.

І про це недавно відкрили тему на redhat.com.
Але я туди не маю доступу до подальшого опису та можливого workaround.
Може хто підкаже де там що фіксити потрібно?
Бо ж досить таки небезпечна штука...

Чи я Зоркій Глаз? :)
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20200902/1dd985ab/attachment.html>