[uanog] sftp vulnerability?

Volodymyr Litovka doka at xlit.one
Wed Sep 2 18:27:29 EEST 2020 

Ну так, там один з каментів - найважливіший, мені йдеться - "If the 
password is stored as DES or MD5 then only the first 8 characters are 
significant. SHA passwords have no such limit. See the crypt(3) man page 
for details."

Я навіть ніколи не задавався питанням, як налаштувати зберігання паролів 
в системі, а ж дивись - здається, так можна і навіть можна MD5 
встановити? :)

On 02.09.2020 18:25, Vladimir Sharun wrote:
> Джентльмены,
>
> Пасс хранится в виде хэша, который (алгоритм хэша) был задан в системе.
>
> Сравнение происходит по схеме:
>
> if(hash(password_given) == get_passwd_hash(user)) {prohodi}{nizya}
>
> Нехватка символов приведет к другому хэшу.
>
> Сравниваются хэши. Уже давно-давно-давно пароли не хранятся в виде, 
> который позволяет реверс-инжиниринг из хэша методом, кроме брутфорса.
>
> /2 вересня 2020, 18:19:17, від "Volodymyr Litovka" <doka at xlit.one 
> <mailto:doka at xlit.one>>:/
>
>     Привіт,
>     не про це? -
>     https://serverfault.com/questions/129137/what-is-the-longest-password-for-ssh
>     <https://serverfault.com/questions/129137/what-is-the-longest-password-for-ssh>
>
>     On 02.09.2020 13:26, Oleh Hrynchuk wrote:
>>     Доброго дня всім,
>>
>>     Стикнувся з тим, що в деяких випадках (кажу "деяких", бо не можу
>>     перевірити УСІ) sftp checks only the first 8 symbols in users
>>     passwords.
>>     Тобто, якщо маємо, наприклад, юзера (login) test12 та пароль до
>>     нього 1234567890AaBb...,
>>     то цього юзера пустить з БУДЬ-ЯКИМ паролем, котрий починається з
>>     12345678.
>>
>>     І про це недавно відкрили тему
>>     <https://access.redhat.com/solutions/5357061> на redhat.com
>>     <http://redhat.com>.
>>     Але я туди не маю доступу до подальшого опису та можливого
>>     workaround.
>>     Може хто підкаже де там що фіксити потрібно?
>>     Бо ж досить таки небезпечна штука...
>>
>>     Чи я Зоркій Глаз? :)
>>
-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20200902/4fb7f803/attachment-0001.html>

More information about the uanog mailing list