The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз OpenSSH 9.6 c устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 9.6 c устранением уязвимостей"  +/
Сообщение от opennews (??), 19-Дек-23, 00:25 
Опубликован релиз OpenSSH 9.6, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.  В новой версии устранены три проблемы с безопасностью:...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60305

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Релиз OpenSSH 9.6 c устранением уязвимостей"  –3 +/
Сообщение от Аноним (-), 19-Дек-23, 00:34 
> подстановку произвольных shell-команд через манипуляцию со
> значениями логина и хоста, содержащими спецсимволы.

...
> В ssh добавлена подстановка "%j", раскрываемая в имя хоста,

Надо было %log4j параметр называть. Глядя на эту и соседнюю новости.

Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз OpenSSH 9.6 c устранением уязвимостей"  –1 +/
Сообщение от YetAnotherOnanym (ok), 19-Дек-23, 01:24 
> осуществить подстановку произвольных shell-команд через манипуляцию со значениями логина и хоста, содержащими спецсимволы

Ля... уязвимости в стиле пятого пыха

Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз OpenSSH 9.6 c устранением уязвимостей"  +1 +/
Сообщение от Аноним (4), 19-Дек-23, 02:06 
> ==========
> Workaround
> ==========
>
> Sanitize hostname input

вот и весь баг

Ответить | Правка | Наверх | Cообщить модератору

7. "Релиз OpenSSH 9.6 c устранением уязвимостей"  +/
Сообщение от YetAnotherOnanym (ok), 19-Дек-23, 13:35 
Дык отож - санитайз. Любой ввод надо санитайз. А тут вон чё.
Ответить | Правка | Наверх | Cообщить модератору

9. "Релиз OpenSSH 9.6 c устранением уязвимостей"  +/
Сообщение от jhkhkjh (?), 04-Мрт-24, 18:11 
Жаль что не ты разрабатываешь openssh, таких бы багов не было. Эххх..
Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз OpenSSH 9.6 c устранением уязвимостей"  –1 +/
Сообщение от Аноним (5), 19-Дек-23, 05:24 
Ну не очень себе страшная уязвимость. Всё упирается в тайминг атаки - анализ задержек между нажатиями клавиш.
Если по SSH ходить с паролями а не с ключами в конце 2023, то тут более весомые векторы атаки, которые так и
остаются, например подмена (MITM) всего соединения для новых устройств с подменой отпечатка хоста. Кто из админов
которые используют пароли сверяют отпечаток? Ну или хоть помнят последние байты вроде :аа:00.
А подмену совершить легче чем проводить Terrapin.

Пока что дистры в дефолте запрещают логин рута по паролю, только по ключам (PermitRootLogin), думаю в скором будет
так же но на всех юзеров, если клиент приходит через публичный адресс в инете а не через локальные сетки RFC1918.

Ответить | Правка | Наверх | Cообщить модератору

8. "Релиз OpenSSH 9.6 c устранением уязвимостей"  +/
Сообщение от dimuspavemail (ok), 27-Дек-23, 11:58 
фстек читает опеннет)))
https://bdu.fstec.ru/vul/2023-08853
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру