События

Все выпущенные с 2011 года версии OpenSSH уязвимы к атакам

Не прошло и недели с выхода исправлений для уязвимости в OpenSSH, как исследователи безопасности обнаружили новую, очень на нее похожую. По словам специалистов компании Qualys, злоумышленник может путем подбора имен пользователей на сервере вычислить действительные. Уязвимость получила идентификатор CVE-2018-15919 и затрагивает все версии OpenSSH, выпущенные с сентября 2011 года.

Новая уязвимость была обнаружена точно так же, как и предыдущая – во время анализа исходного кода OpenBSD. Однако на этот раз проблема связана с компонентом auth2-gss.c, активированным по умолчанию в Fedora, CentOS, Red Hat Enterprise Linux и, возможно, в других дистрибутивах Linux.

Как пояснили исследователи, при попытке авторизоваться атакующий получает тот же самый пакет, независимо от того, является имя пользователя действительным или нет. Тем не менее, если пользователь действительный, появляется ошибка 'server_caused_failure', в противном случае ошибка не отображается.

Число попыток ввода имени пользователя ограничено до шести, после чего сервер отключает соединение с атакующим. После ввода действительного имени злоумышленник «может осуществлять попытки аутентификации через GSSAPI бесконечное число раз», сообщили исследователи, что в свою очередь открывает двери для брутфорс-атаки на пароль.

Разработчики OpenSSH не считают исправление данной уязвимости приоритетной задачей из-за ее низкой опасности. По их словам, уязвимость позволяет лишь «частично раскрыть нечувствительную информацию». С ее помощью атакующий может только попытаться определить, существует ли тот или иной пользователь, а ограниченное число попыток ввода логина существенно снижает его шансы на успех.

Источник

Автор: Сергей Куприянов
30.08.2018 (15:06)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.