https://www.opennet.ru/openforum/vsluhforumID3/115057.html В OpenSSH выявлена (http://seclists.org/oss-sec/2018/q3/124) проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователей с данным именем в системе.<br><br><br><br>Метод базируется на разности поведения при обработке запроса на аутентификацию для существующего и неизвестного пользователя. Атакующий может отправить некорректный запрос аутентификации (например, отправить повреждённый пакет), в случае отсутствия пользователя в системе выполнение функции userauth_pubkey() завершиться сразу с отправкой ответа SSH2_MSG_USERAUTH_FAILURE. Если пользователь присутствует в системе произойдёт сбой при вызове функции sshpkt_get_u8() и сервер просто молча закроет соединение.<br><br><br>Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита - для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время обработки операции проверки для существующего и несуществующего пользователя. Без выравнивания времени проверк https://www.opennet.ru/openforum/vsluhforumID3/115057.html#60 Tue, 21 Aug 2018 04:00:41 GMT Ты вручную адрес ссылки что ли писал?<br> https://www.opennet.ru/openforum/vsluhforumID3/115057.html#59 Mon, 20 Aug 2018 19:49:54 GMT От квантового компьютера то? :)<br> https://www.opennet.ru/openforum/vsluhforumID3/115057.html#58 Fri, 17 Aug 2018 12:30:59 GMT С такой энтропией (~84bit) на гигабитном канале (условно 1 000 000 пакетов в секунду) и при отсутствии fail2ban и DDoS protection - миллиарды лет.<br> https://www.opennet.ru/openforum/vsluhforumID3/115057.html#57 Fri, 17 Aug 2018 11:32:18 GMT &gt;&gt; На что? На то, что обнаружили уязвимость в коде, который был уже <br>&gt;&gt; пропатчен?<br>&gt; 1 Из текста новости не понятно исправлена она или нет.<br><br>Поправьте автора новости?<br><br>&gt; 2 Апстим должен выпускать обновления, а не патчить.<br><br>И выпустит. Проблема критической не считается, так что внеочередного релиза, скорее всего, не будет (но я с djm@ водку по утрам не пью, так что зарекаться не буду).<br> https://www.opennet.ru/openforum/vsluhforumID3/115057.html#56 Fri, 17 Aug 2018 11:27:59 GMT &gt; На что? На то, что обнаружили уязвимость в коде, который был уже <br>&gt; пропатчен?<br><br>1 Из текста новости не понятно исправлена она или нет.<br>2 Апстим должен выпускать обновления, а не патчить.<br> https://www.opennet.ru/openforum/vsluhforumID3/115057.html#55 Fri, 17 Aug 2018 11:20:19 GMT На что? На то, что обнаружили уязвимость в коде, который был уже пропатчен?<br> https://www.opennet.ru/openforum/vsluhforumID3/115057.html#54 Fri, 17 Aug 2018 11:19:25 GMT В первоисточнике вполне чётко показано, что уязвимость нашли уже после её исправления.<br> https://www.opennet.ru/openforum/vsluhforumID3/115057.html#53 Fri, 17 Aug 2018 11:18:40 GMT Как раз именно что кто-то обратил внимание на один из коммитов и понял, что решаемая им проблема больше, чем может показаться на первый взгляд. Пройдите по ссылке к новости, что ли...<br> https://www.opennet.ru/openforum/vsluhforumID3/115057.html#52 Fri, 17 Aug 2018 10:36:44 GMT &gt; Ну а как бы ты сделал?<br><br>я бы сделал именно так, как сделано в openssh<br><br>