neprihlásený
|
Streda, 30. októbra 2024, dnes má meniny Šimon, Simona |
|
V nedávnych verziách OpenSSH kritická zraniteľnosť
Značky:
bezpečnosťSSHLinux
DSL.sk, 1.7.2024
|
|
V nedávnych verziách serveru OpenSSH, rozšírenej open source implementácii protokolu SSH pre bezpečný vzdialený prístup k textovému terminálu, sa nachádza kritická bezpečnostná zraniteľnosť, ktorá v prípade úspešného zneužitia umožňuje spustenie útočníkom zvoleného kódu s administrátorskými oprávneniami.
Zraniteľnosť CVE-2024-6387 identifikovala bezpečnostná spoločnosť Qualys, popisuje ju v tomto oznámení.
Rovnaká zraniteľnosť s označením CVE-2006-5051 už bola opravená vo verzii 4.4p1 z roku 2006, po zmenách v kóde je ale opäť prítomná od verzie OpenSSH 8.5p1 z októbra 2020.
Zraniteľnosť je prítomná až po verziu 9.7p1, tvorcovia ju opravili v dnes vydanej novej verzii 9.8p1.
Zraniteľnosť je typu tzv. race condition a umožňuje neautentifikovanému užívateľovi spustiť zvolený kód s administrátorskými oprávneniami. Zneužitie zraniteľnosti nie je jednoduché, je ale praktické a Qualys má k dispozícii funkčný exploit.
Zneužitie bolo demonštrované na 32-bitovom Linuxe s glibc knižnicou a zapnutou ochranou ASLR, útok vyžadoval 6 až 8 hodín permanentného pripájania sa na OpenSSH server. Podľa tvorcov OpenSSH je možný aj útok na 64-bitové systémy, zatiaľ ale nebol demonštrovaný. Útok je predstaviteľný aj na systémy nepostavené na glibc, táto možnosť ale nebola analyzovaná.
OpenSSH na OpenBSD nie je zraniteľný.
Najnovšie články:
inzercia
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Moj nasor
Od: joskoooooooooo
|
Pridané:
2.7.2024 6:59
Tato sranitelnost nie je pre hakera siadna vichra
|
|
titulok
Od: xvzf
|
Pridané:
2.7.2024 10:02
ASLR rulez!
|
|
ultraradikálny špecifikácionalizmus
Od: syntaxterrorXXX, . Y
|
Pridané:
2.7.2024 11:58
No tak ja ako do toho nechcem moc šprtať, ale ak rovnaká zraniteľnosť už bola opravená a po zmenách v kóde je ale opäť prítomná, tak opravená bude až keď budú skontrolované všetky zraniteľnosti, označené ako opravené, nakoľko priekazne vyvstávajú určité pochybnosti o chápaní absolutária významu príznaku opravená v kontexte časových súsledností.
|
|
debian
Od: OriginalnyKoumakSK
|
Pridané:
2.7.2024 22:58
Na debiane to uz poriesili
https://security-tracker.debian.org/ tracker/CVE-2024-6387
|
Pridať komentár
|
|
|
|