События

В OpenSSH обнаружены множественные уязвимости

В OpenSSH обнаружены множественные уязвимости

В клиенте OpenSSH обнаружен ряд уязвимостей, позволяющих вызвать отказ в обслуживании, получить доступ к важным данным и повысить привилегии на системе. Проблемы затрагивают все версии OpenSSH до 7.3.

Первая уязвимость существует из-за ошибки в функции crypt(3) при обработке слишком длинных паролей. Удаленный атакующий может отправить серверу специально сформированный (очень длинный) пароль и потребить большое количество ресурсов процессора.

Вторая уязвимость связана с ошибкой в реализации криптографических алгоритмов. Проэксплуатировав проблему, злоумышленник может осуществить CBC padding oracle атаку на ssh(1) и sshd(8).

Еще одна уязвимость существует из-за ошибки при обработке данных окружения. Локальный пользователь может с помощью специально сформированной переменной окружения осуществить атаки на процесс bin/login, если на системе PAM настроен на чтение данных из переменных окружения и sshd_config содержит опцию UseLogin=yes. Уязвимость распространяется на портативную версию OpenSSH.

Наконец, четвертая проблема вызвана ошибкой в реализации MAC-верификации для алгоритмов Encrypt-then-MAC (EtM). Проэксплуатировав уязвимость, злоумышленники может осуществить тайминг-атаку.

Исправленная версия OpenSSH 7.3 уже доступна на сайте разработчика.

Автор: Сергей Куприянов
2.08.2016 (15:13)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.