Putty その３【パティ】

Putty その３【パティ】 (316ﾚｽ)
上下前次 1-新

157: 2013/08/07(水) NY:AN:NY.AN AAS
本家で0.63出てるな

158: 2013/08/07(水) NY:AN:NY.AN AAS
heap overflow脆弱性が公開されたせいだな。

外部ﾘﾝｸ:www.chiark.greenend.org.uk

2013-08-06 PuTTY 0.63 released, fixing SECURITY HOLES

PuTTY 0.63, released today, fixes four security holes in 0.62 and before: vuln-modmul, vuln-signature-stringlen, vuln-bignum-division-by-zero, private-key-not-wiped. Other than that, there are mostly bug fixes from 0.62 and a few small features.

159: 2013/08/07(水) NY:AN:NY.AN AAS
security fix releaseだからPuttyjpやICE IV+puttyも早いとこ更新してほしいなぁ
ごった煮版は更新止まっちゃったっぽいから無理かなぁ

160: 2013/08/07(水) NY:AN:NY.AN AAS
ICE IV+puttyは0.63対応版が出た模様

外部ﾘﾝｸ[zip]:ice.hotmint.com

Nagさん素早い対応乙です

161: 2013/08/07(水) NY:AN:NY.AN AAS
ごった煮由来のpagentはパスフレーズ保存する機能まで付いてるから、not-wipedどころじゃないな
もうiceivは、そのへん捨ててもいいんじゃね？ pfwdとplinkは必要な人がメンテすりゃいいじゃないの

162: 2013/08/07(水) NY:AN:NY.AN AAS
不要な機能ばっかついてる上、環境を選んだりすることがあるという理由でiceivは使わず
ごった煮系を自分でビルドして使ってる俺みたいなのも多いだろうしね
かっちりブランチしちゃっても誰も困らないんじゃないかな
どうせ本家に取り込んでもらうつもりもないんだろうし

163: 2013/08/08(木) NY:AN:NY.AN AAS
微妙な改造版が乱立してる現状はなんとかならんかなあとは思うね。
Linux ZaurusのEmbedded Konsoleを思い出す…

一度どれだけ派生があって、どんな機能があるのか整理してみるかな。

164: 2013/08/08(木) NY:AN:NY.AN AAS
iceivから本家に取り込まれたものはあるから、投げてるけど採用されてない系。
本家は滅多に派生を採用しない、puttyjpですら駄目だったらしいし。UI系は絶望的。

まあそのうち誰かがKittyとかも集約した究極派生つくるでしょきっと

165: 2013/08/08(木) NY:AN:NY.AN AAS
個人的にはPuTTYjp＋ごった煮版の機能のうち3つぐらいで足りているので
機能をそれだけに絞った自前ビルドとかやりたいんだけど
ごった煮版のパッチから必要な機能だけ抜き出すのが出来なくて挫折中orz

166: 2013/08/08(木) NY:AN:NY.AN AAS
PuTTYjpも0.63ベースのが出た模様

外部ﾘﾝｸ[zip]:hp.vector.co.jp

hdkさん乙です

167(1): 2013/08/09(金) NY:AN:NY.AN AAS
自前ビルドも結構面倒なんだよね。やり方も複数ある(cygwin, msvc等)
あるし。
自分は64bit版作りたいんだけど未だにうまくいってない。

168: 2013/08/10(土) NY:AN:NY.AN AAS
>>167
x64版は*.mftファイルのprocessorArchitectureの罠にはまらなければ
難しくないはず
確かPuTTYjpはSetWindowLongを使っているところがあるから
そのあたりも変更が必要だね

169: 2013/08/11(日) NY:AN:NY.AN AAS
本家から0.63のウインドウズ版ソースを取ってきてCygwinでbuildしてみたところ
コンパイラが-mno-cygwinなんてオプション知らないって言ったりtchar.hが無いって言われたり
エラー続出なんだけど、これってCygwinの構成の問題？

170: 2013/08/11(日) NY:AN:NY.AN AAS
最近のCygwinのgccはMinGWバイナリを作れなくなっている
MSYSでビルドできるはず(-mno-cygwinは削除)
putty.hの#ifndef IS_HIGH_SURROGATEの位置がおかしいので
修正する必要があるかも

171(1): 2013/08/12(月) NY:AN:NY.AN AAS
iceiv+putty の putty-gdi-20130807.zip 版にしたんだけど、
putty.exe が結構な頻度で落ちちゃうなぁ。これまでは落ちることなんてほぼ無かったんだけど。
皆さんはどうですかね。

agent forwarding した上で pagent 関連の操作をしていると落ちるような気がする。
うちの珍しい条件としては /etc/ssh-*/agent.pid を漁って、複数プロセスから利用している。
たとえば、agent forwading で複数のソースからのリクエストを想定していない等だと問題になるのかね。
だた、落ちるのは putty.exe なんだよね。
省2

172(1): 2013/08/12(月) NY:AN:NY.AN AAS
状況わかってないから要らん口出しかもだが、本家のpageant使ってみたら？

173(1): 2013/08/18(日) NY:AN:NY.AN AAS
>>171
64bit版Windows SP1でputty-gdi-20130807.zipを使っているけど特に問題なく使えているよ
pageantも使っているけど、171がやっているような複雑なことはやってないからその辺りは判らんです

174(1): 2013/08/21(水) NY:AN:NY.AN AAS
>>172
ありがとう。残念ながら、pagent を本家版にしても状況は変わらなかった。
落ちているのは putty.exe だしね。

>>173
情報サンクス。
たぶん、/etc/ssh-*/ に、複数プロセスから ssh-add -l でアクセスするとダメなのかな。

175(1): 2013/08/22(木) NY:AN:NY.AN AAS
>>174
切り分けとしては本家のputtyやjpを使ってみる、ってことになるだろうけど、
ごめん浅学で理解できてないのだけど、その/etcというところをみると、
puttyでsshした先の話のように見えて、puttyに影響がでるメカニズムが分からない。

176(9): 2013/08/22(木) NY:AN:NY.AN AAS
>>175 すみませぬ。s/etc/tmp/ の間違いです。orz...

ssh -A などで、agent forwarding して *nix サーバにアクセスすると、
/tmp/ssh-RANDOM_STRING/agent.PID
っていうソケットファイルがあって、
それを適切に読み書きすることで、フォワードしたエージェントで
認証を行うことが出来るのです。

通常は、ログインしたシェルとその環境変数を引き継いだサブシェルなどで
省6

177(4): 2013/08/22(木) NY:AN:NY.AN AAS
>>176
ええと、今ひとつ再現条件が理解できてないんだけど、

[前提]
* putty.exeはputty-gdi-20130807.zipのものを利用
* pageant.exeはputty-gdi-20130807.zipのものでも本家公式のものでもどちらでもよい
[再現手順]
1. pageant.exeを起動
省17

178(1): 176 2013/08/22(木) NY:AN:NY.AN AAS
>>177 丁寧にありがとうございます。
厳密にその手順で再現できたわけではないですが、5 まではあってます。

6. の ssh-add -l を実行するのは、フォワーディングしている putty + shell ではなく、
別途 GNU screen で開いておいたシェルからスクリプトを実行しています。

手順-1. 1-5 の手順で putty を利用し GNU screen でセッションを開いておく、
手順6. 過去のセッションにアタッチして、
スクリプトで /tmp/ssh-*/agent.PID にアクセスする
省10

179: 176 2013/08/22(木) NY:AN:NY.AN AAS
補足です。
スクリプト内では python の opoen を読み出しモードで開き、
子プロセスの標準入力を読み取っています。
ssh-add -l が実行される一般的な状況と比較すると、
標準入力にはアクセスできない、というのが特性としてあります。
書いていて思いましたが、< /dev/zero でもつけておいたら回避できたりして。

180(2): 177 2013/08/23(金) NY:AN:NY.AN AAS
>>178
ええと、そうなると↓のような感じでしょうか？

[前提]
* putty.exeはputty-gdi-20130807.zipのものを利用
* pageant.exeはputty-gdi-20130807.zipのものでも本家公式のものでもどちらでもよい
[再現手順]
01. pageant.exeを起動する
省13

181(1): 176 2013/08/23(金) NY:AN:NY.AN AAS
>>180
ありがとうございます。そのとおりです。

11 のスクリプトは、影響がありそうな箇所を抜粋したものなので
その抜粋が見当違いなのかもしれません。もしそうであれば
せっかく確認していただいて申し訳ないです。

手元で、もう少し条件を絞ってみます。

182(1): 2013/08/24(土) NY:AN:NY.AN AAS
>>181
ええと、ひょっとして176さんの環境で外部ﾘﾝｸ:pastebin.com のスクリプトを実行しても症状が発生しないのでしょうか？
それだと意味がないので、多少複雑でも確実に症状が発生するものを晒していただきたいのですが…。

あとちょっと気になったことがあるのですが、この症状を再現するのにscreenを使うのは必須なのでしょうか。
このスクリプトがやっていることからすると、>>180の再現手順05までを行った後に

06'. 環境変数SSH_AUTH_SOCKをクリアするorそれらしい別の値に変更する
07'. 件のPythonスクリプトを実行する
省1

183: 176 2013/08/26(月) NY:AN:NY.AN AAS
>>182

> 症状が発生しないのでしょうか？
すみません。そのとおりです。いろいろごちゃごちゃ書いてあるスクリプトで、
そのままお出しできるか確認するのが面倒だったので、関係あると思われる部分のみ
抜粋したつもりだったのですが間違っておりました。まったく以って申し訳ないです。すみません。

その後、いろいろ調べましたので以下に置きました。
外部ﾘﾝｸ:pastebin.com
省3

184: 176 2013/08/26(月) NY:AN:NY.AN AAS
画像にアクセスできないようなので。さいうｐ。
画像ﾘﾝｸ[png]:uploda.cc
画像ﾘﾝｸ[php]:or2.mobi

185(1): 176 2013/08/26(月) NY:AN:NY.AN AAS
と、いうことで、ssh.c ssh2_channel_init() に
c->u.a.message = NULL;
を追加することで、とりあえず問題が発生しなくなりました。
putty-0.63 にパッチをあてた iceiv さん版で確認していますが、
落ちた状況をデバッガで確認した内容からすると他の環境でも同一だと思います。

186(1): 177 2013/08/26(月) NY:AN:NY.AN AAS
>>185
>>185
解析お疲れ様でした
本家のsvnリポジトリのtrunkをビルドして試されたようですが、現在trunkのHEADは10031まで進んでおり
ssh.cも試されたリビジョンより後でかなり更新されているようなので、一度trunkのHEADで問題が発生するか
試してみるのが良いのではないかと

187: 176 2013/08/26(月) NY:AN:NY.AN AAS
>>186
お。そうですね。ということで確認しましたが trunk r10031 でも NG でした。
本家にレポートしておこうと思います。

188: 176 2013/08/27(火) NY:AN:NY.AN AAS
trunk r10032 に取り込んでもらいました。

お付き合いいただいた皆さんありがとうございます。
とくに >>177 にはお手間を掛けさせてしまいました。ごめんなさい。
また、いろいろとアドバイスありがとうございました。

189(2): 2013/12/07(土)18:56 AAS
Puttyの0.63にしてから、ポートフォワードが異常に遅くなる現象が
出てるような気がするのですが、ｈｄｋさんとこの過去バージョンって
どこかでダウンロードできるところあります？

バージョン0.58だと、遅くならないようですが、さすがに古すぎるので、
どのバージョンまで大丈夫なのか試してみたいのですが。

190: 2013/12/09(月)15:24 AAS
>>189です。

他のPCに過去バージョンのアーカイブが入ってましたので、
試してみましたが、やっぱりポートフォワードが遅くなるのは
改善しないです。0.58も、実はダメでした。

再現性がないですし、いつもなるわけではなくて時々なので
分かりにくいですが、今のところ英語バージョンの0.63の場合
遅くなる現象は一度も発生してません。
省2

191(1): 2013/12/09(月)19:39 AAS
plinkで再現するか試してみなよ

192: 2013/12/09(月)22:19 AAS
>>191
plinkだと遅くならないみたいです。一度だけ遅くなったような
気がしましたが、すぐに復旧したので、putty日本語版本体とは
挙動が違うようです。

でも、plinkは日本語を扱いにくいし、putty英語版本体の方が
相手がUTF-8ならずっとましかな？

とりあえず、putty英語版本体を使ってみますが、回線の問題のような
省2

193: 2014/01/06(月)12:55 AAS
iceivを使ってるんだけど高dpi設定にしたら24行の標準設定でも
カーソルのある最下行がウィンドウからはみ出しちゃうんだがputtyの設定で何とかなる？

194: 2014/01/06(月)15:19 AAS
どうにもならなかったので、Puttyをdpi仮想化対象外にして回避したような
記憶があるな、それ。

195: 2014/01/06(月)16:17 AAS
埋め込まれてるmanifestが間違ってるんじゃないか
dpiAwareがtrueになってるみたいだが

196(1): 2014/04/28(月)22:41 AAS
>>189です。

どうも、職場のサーバー側に問題があったようです。職場の壁のLANコンセントに
機器（PCやルーター）を直結するとエラーパケットが発生するようで、スイッチング
ハブを間に入れるとまともになるようです。

壁コンセントの大元のスイッチ（おそらくCisco製）との相性か、ケーブルの長さの
問題な気がします。最近の改装工事で接続ミスが多くどうも素人工事の感じで
まさかの後者の問題のような気もしてます。
省3

197(1): 2014/04/29(火)03:04 AAS
>>196
単に相性って可能性もあるけど、規格に満たないケーブルで1000BASEとか通すとアホみたいにエラー出るよ。
ハブが弱い線の部分を100BASEに落としてくれてエラー減ってるとかそういう可能性が高い気がする。

198(1): 2014/04/29(火)07:28 AAS
結線がまとも(ツイストペアがペアになってない)じゃないケーブルとか

199(1): 2014/04/29(火)07:46 AAS
自作LANケーブルだと圧着前後の撚り戻し量やペアじゃない線をペアにしたりで良し悪しあるけど、
LANコンセントの後ろも全く同じミスが起こりうるのに、目視確認できないからタチが悪い。
CAT6コネクタ使いながらCAT5ギリギリのケーブルが後ろにいるなんて事例もあるんじゃないかな。

200(1): 2014/04/29(火)11:17 AAS
>>197-199
構内ネットワークは100Baseなのでケーブルの問題（少なくとも
替えて改善しないコンセント以降のケーブル）ではないと思う。

コンセントとスイッチの間の接続か、スイッチ自身（最初の話では
CiscoのCatalyst35xx）の相性問題じゃないかと思う。

とりあえず、ハブを間に入れてパケットエラー率が1/5000程度に
なってるけど、やや高めでアナログ的な問題も残ってそうな感じ。
省5

201(1): 2014/09/03(水)17:27 AAS
>>200
sshだけで問題が出るっての昔どこかで体験したな。原因はL2スイッチの故障だった
なんでそんなことが起きるのかまでは素人なんで分からなかった

なおICEIVがECDSAに対応した模様

202(1): 2014/09/09(火)20:08 AAS
>>201
スイッチの故障もあり得るか。10年経ったし天井裏のスイッチを
入れ替えてもいい頃かもしれないな。

とりあえずPuttyの側でSSHの圧縮をオンにしてると問題が起きる
頻度が下がっているのでそのまま使ってる。ポートフォワードで
rdpやVNCを使ってて圧縮自体はそっちもかかってるはずだけど。

203: 2014/09/09(火)22:11 AAS
ECDH/ECDSAに対応したんで遊んでみてるんだけど、openssh server側で
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
みたいに複数の指定あるとき、RSAとECDSAどっち使うかの優先順位ってどこかで設定可能？
openssh clientは決めうちってるみたいだけど

204: 2014/09/09(火)22:25 AAS
違った、openssh client なら HostKeyAlgorithms で設定可能だ

205: 2014/09/13(土)11:10 AAS
>>202
MTU周りで問題ありそうな気がする

206: 2014/10/22(水)21:52 AAS
ごった煮、アップデートしてくれないかなあ
アップデートする気ないならhdkさんとこにリンク貼るか
いつまでもセキュリティホールのあるバージョンがググるとトップに来るのはなあ

207: 2014/10/22(水)23:49 AAS
iceivの方でいいじゃん

208: 2014/10/23(木)10:41 AAS
iceivはベースがsvn trunkなのと独自ecdsa対応なのがちょっと。

209: 2014/10/23(木)12:54 AAS
(´-`).oO(こないだRLoginに乗り換えちゃったよ・・・)

210: 2014/10/23(木)19:09 AAS
実質opensslとopensshの移植だから本家が導入するかもしれん完全独自な実装より信頼できる,
っていう考え方は駄目か?

211: 2014/10/23(木)19:36 AAS
opensshはともかくopensslの信頼度はボロボロですわ

212: 2014/10/23(木)22:31 AAS
putty以外のterminal emulatorは全部opensslだろw

213(1): 2014/10/24(金)01:13 AAS
opensslは確かにボロボロだが、client側だとserver程神経質になる必要も無いだろ。

214: 2014/10/24(金)02:15 AAS
中間者攻撃で秘密鍵が盗まれたりしたら恐ろしいことになる。
サーバのメモリ読まれても秘密鍵は読まれない(よね？)筈だけど、
クライアントのメモリ読まれたら秘密鍵読まれてログインし放題や。

215(1): 2014/10/24(金)02:26 AAS
そもそもその中間者攻撃はどうやって成功させるの？
sshで中間者攻撃が成功したとか聞いたこと無いんだが
なんのためにサーバー側のfingerprint確認してんだよ

216(1): 2014/10/24(金)11:16 AAS
え？クライアントのメモリ読むのは中間者攻撃じゃ不可能でしょ？

クライアントのローカルマシン上で悪意のあるソフトウェアを動かして、
それがメモリから秘密鍵を盗み見る可能性はあるから、
秘密鍵を保持したメモリは使用直後に上書きして消す。
でもそれってopenssh側の実装の問題だからopenssl関係ない。

217(1): 2014/10/24(金)23:23 AAS
opensslに未知の脆弱性がある、と言う事を前提にそこを突くような鯖を用意して
中間者攻撃をしかけるって事だと妄想したが、無理ありすぎるわｗ
そもそもそんなにopenssl嫌ならopenssh使うのだって駄目って事になるだろ

論理が破綻してますわ

218: 2014/10/25(土)00:38 AAS
>>215
認証より前の段階で脆弱性があればfingerprint確認は効果が無い。
opensslで大きな話題になったheartbleedも認証前に機能する脆弱性。

>>216
opensslのheartbleedはサーバないしクライアントのメモリを認証前に盗み見ることの出来る脆弱性。
攻撃対象のクライアントを偽サーバに誘導する方法が中間者攻撃であれば中間者攻撃は成立する。
あ、opensshではheartbleedされないけど、これはそれに相当する脆弱性があった場合の話ね？
省8

219: 2014/10/25(土)13:55 AAS
攻撃者がサーバーとクライアントのどっちを狙うかって考えたらそりゃサーバーだろ
標的型でピンポイントで狙うのならまあクライアント側もありえるけどそもそも前提がおかしい

220: 2014/10/25(土)19:40 AAS
結局iceivのecdsa実装は使うと危険なの？本家の実装待つべき？

221: 2014/10/26(日)00:22 AAS
好きにすればいい

222: 2014/10/26(日)03:42 AAS
プロトコル周りが独自だとちょと怖いけど、暗号とか圧縮みたいな数値を規則的に弄るだけの部分は間違ってたら通信できないだけ。
あんまり気にする必要はない…と思ってるけど
> 2014/09/10 修正内容
> ホスト鍵が ECDSA の場合にクラッシュすることがあった。
> 旧バージョンでホスト鍵を取得していた場合、警告が出るかもしれません。
これは暗号じゃなくて暗号による処理の切り替えでミスってたってだけ…だよ…ね…？

223: 2014/10/28(火)11:37 AAS
パッチをdiffればわかるけど、"ecdsa521"を"521"とtypoしたのと
unsigned char * を char * とtypoした2箇所だけ違う。

224: 2014/10/30(木)18:27 AAS
sixelサポートはまだですか

225: 2014/10/31(金)10:25 AAS
挑戦しようとしてみたけど、Win32の描画周りがさっぱりわからん。
C#メインのゆとりでございます。

226: 2014/10/31(金)21:33 AAS
C#メイン関係ないだろ
謝れ！　C#に謝れ!!

227: 2014/11/01(土)10:32 AAS
この際、全部C#で書き直すといいんじゃね？

228: 2014/11/02(日)04:12 AAS
Win32が使えるUNIXって何だ

229: 2014/11/02(日)13:35 AAS
確かNetBSDには
COMPAT_PECOFF というのがあって
Winのエロゲを動かしていたような記憶が

230: 2014/11/04(火)09:42 AAS
ああそうかputtyはgtkでも動くんだった。
しかしそこまでポータビリティ考慮する実装を追加するのは大変そうだ。

231: 2014/11/07(金)11:35 AAS
sixelって実用的な意味あんの？ X立ち上げればいいじゃん、って話じゃなく？

232: 2014/11/07(金)23:17 AAS
w3mで画像がみれてうれC

233: 2014/11/08(土)00:14 AAS
縛りプレイやってるならともかく、普通はブラウザ立ち上げたほうがいい

234: 2014/11/17(月)22:19 AAS
二ヶ月の命だったか

235: 2014/12/10(水)23:21 AAS
iceiv+puttyの最新版に更新したついでに鍵をECDSAにしてみたんだけど
サーバ側のsshdが古いとECDSAに対応してないし
クライアント側もFilezillaやTortoiseSVNは当然対応してないしで
結局元のRSA鍵に戻してしまった
Nagさんのコメントによると本家の次のreleaseはまだECDSAに対応しないようだし
鍵をECDSAに完全移行するにはまだ時間がかかりそうだ

236: 2015/01/26(月)03:27 AAS
iceiv+putty
2015/01/09 版

２週間たったな。そろそろ置き換えるか。

237: 2015/01/26(月)12:33 AAS
まだあわてるような時間じゃない

上下前次 1-新書関写板覧索設栞歴

あと 79 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.020s