The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc

01.07.2024 13:35

Компания Qualys выявила критическую уязвимость (CVE-2024-6387) в OpenSSH, позволяющую добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость, которая получила кодовое имя regreSSHion, проявляется в конфигурации по умолчанию начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc.

Возможность совершения атаки продемонстрирована на 32-разрядной системе с Glibc с включённой защитой ASLR (рандомизация адресного пространства). Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью. Совершение атаки упрощается и требует меньше времени на системах без ASLR или в дистрибутивах, использующих модифицированный OpenSSH, в котором отключена повторная рандомизация ASLR для каждого соединения. Рабочий прототип эксплоита до повсеместного устранения уязвимости решено не публиковать публично, но при этом доступно достаточно подробное описание сути уязвимости, которое делает появление сторонних эксплоитов делом времени.

Не исключается возможность совершения атаки и на 64-разрядные системы, но рабочий эксплоит для таких систем пока не готов. Предполагается, что проведение атаки на 64-разрядные системы будет занимать гораздо больше времени, но не более недели. OpenSSH в OpenBSD проблеме не подвержен, так как в данной системе с 2001 года применяется механизм защиты, блокирующий подобные классы атак. В других системах на основе стандартных библиотек, отличных от Glibc, теоретически возможна адаптация метода для совершения атаки (в Qualys данный вопрос пока не изучался).

Уязвимость устранена в опубликованном сегодня выпуске OpenSSH 9.8 (патч). Проследить за публикацией обновлений пакетов в дистрибутивах можно на страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, ROSA, Gentoo, ALT Linux, Arch, FreeBSD и NetBSD. В качестве обходного пути блокирования уязвимости в sshd_config можно выставить параметр "LoginGraceTime=0", при этом отключение таймаута упростит инициирование отказа в обслуживании при установке большого числа соединений, превышающих лимиты, заданные через параметр MaxStartups. Одним из признаков попыток совершения атаки является появление в логе большого числа записей "Timeout before authentication".

Уязвимость появилась в результате регрессивного изменения, вошедшего в состав выпуска OpenSSH 8.5 и приводящего к состоянию гонки в коде обработки сигналов в sshd. Регрессия привела к прекращению действия защиты от старой уязвимости CVE-2006-5051, проявлявшейся до версии OpenSSH 4.4 (2006 год) и носившей теоретический характер. В ходе разработки OpenSSH 8.5 по ошибке из функции sigdie(), которая напрямую вызывается из обработчика SIGALRM, была удалён блок "#ifdef DO_LOG_SAFE_IN_SIGHAND".

Обработчик SIGALRM вызывается в sshd в асинхронном режиме, если клиент не выполнил аутентификацию в течение времени, ограниченного таймаутом подключения (LoginGraceTime, по умолчанию 120 сек). Атака основана на том, что обработчик сигнала вызывает функции не безопасные при асинхронной обработке сигналов, такие как syslog(). Функция syslog() в Glibc не рассчитана на использование в асинхронно выполняемых обработчиках сигналов, так как вызывает функции malloc() и free().

Срабатывание сигнала SIGALRM, прерывающего работу определённого кода в sshd, может привести к нарушению состояния выполнения, а задача эксплоита сводится к созданию условий для прерывания нужного кода в необходимый момент его выполнения. Например, срабатывание SIGALRM во время выполнения malloc или free может привести к повреждению внутренних сктруктур malloc. Уязвимость не затрагивает OpenBSD, так как в нём вместо syslog() из обработчика сигнала SIGALRM вызывается функция syslog_r(), специально созданная для асинхронного запуска.

Дополнение: Системы со стандартной Си-библиотекой Musl не подвержены предложенной технике эксплуатации, так как в musl в функции syslog() не применяется динамическое выделение памяти при форматировании вывода через функцию printf() и не используется функция localtime() при прикреплении времени к отправляемым в лог записям.

  1. Главная ссылка к новости (https://lists.mindrot.org/pipe...)
  2. OpenNews: Проект OpenSSH разделяет sshd на несколько исполняемых файлов
  3. OpenNews: Релиз OpenSSH 9.7
  4. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH
  5. OpenNews: Удалённо эксплуатируемая уязвимость в OpenSSH ssh-agent
  6. OpenNews: Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61470-openssh
Ключевые слова: openssh, vulnerability, exploit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (173) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:13, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –15 +/
    Конечно на фряхе же нет Глибс,а линуксоидам страдать.
     
     
  • 2.7, Аноним (7), 14:21, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +13 +/
    FreeBSD-SA-24:04.openssh Security Advisory
                                                              The FreeBSD Project

    Topic: OpenSSH pre-authentication remote code execution

    Ну да, точно.

     
     
  • 3.59, Аноним (-), 16:42, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > FreeBSD-SA-24:04.openssh Security Advisory
    > The FreeBSD Project
    > Topic: OpenSSH pre-authentication remote code execution

    Сейчас он промямлит "ну не очень то и хотелось", только запатчит свои системы :)

     
  • 2.11, Аноним (11), 14:23, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На линуксе тоже работает musl. Alpine, Gentoo например.
     
     
  • 3.15, Аноним (7), 14:25, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То, что musl не подвержен, пока не доказано.
     
  • 3.47, ананим.orig (?), 15:42, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > "Timeout before authentication"

    в недавней новости про встроенную защиту в sshd кто-то прогнозировал отмену fail2ban https://www.opennet.dev/openforum/vsluhforumID3/133952.html#1

     
  • 3.151, ин номине патре (?), 20:39, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >На линуксе тоже работает musl. Alpine, Gentoo например.

    нормальный линукс для серверов это OL8, ичсх not affected
    дебиан, очередной шах и мат.

     
  • 2.22, Аноним (22), 14:38, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вам новость внимательно читать.
     
     
  • 3.27, Аноним (1), 14:48, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Угу,написано же фря значит не только лишь у полтора фрика оно установленно. Я понял.D
     
     
  • 4.32, Аноним (7), 14:59, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы уверены в том, что умеете читать?
     
     
  • 5.44, Аноним (1), 15:38, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Может носом ткнете?
     
  • 4.34, OpenEcho (?), 15:03, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > лишь у полтора фрика оно установленно.

    Это те самые которые Netflix обслуживают? Вот что значит спецы !

     
     
  • 5.45, Аноним (1), 15:40, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот сильно сомневаюсь,что они на Фре Глибс натыкали.
     
     
  • 6.60, OpenEcho (?), 16:43, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я только о землекопах
     
     
  • 7.65, Аноним (1), 17:05, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у полтора фрика.Надеюсь так понятнее. Какой-то аноним при этом вылез и показывает,что вообще оно есть и даже пропатчено.На голубом глазу тычет при этом в статью,хотя Фрю только в видосиках видел.
     
     
  • 8.70, Аноним (70), 17:34, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Казалось бы, при чём тут glibc Оно потенциально работает на всех libc, кроме op... текст свёрнут, показать
     
     
  • 9.72, Аноним (1), 17:46, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что же,такого я действительно в статье не видел - каюсь Только слово потенциаль... текст свёрнут, показать
     
  • 8.89, OpenEcho (?), 19:07, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так оно конечно понятнее о каких землекопах, с чего и следовало начинать, но ес... текст свёрнут, показать
     

  • 1.2, Аноним (2), 14:15, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    - else if (timespeccmp(&now, &next_interval, >=)) {
    - /* Otherwise if we were due to send, then send chaff */
    + else if (timespeccmp(&now, &next_interval, >=) &&
    +     !ssh_packet_have_data_to_write(ssh)) {
    + /* If due to send but have no data, then send chaff */

    Патч впечатляет.
    Даже слов нет.

     
     
  • 2.9, Аноним (7), 14:22, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.dev/opennews/art.shtml?num=28998
     

  • 1.3, Аноним (-), 14:17, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Опять этот глибс! Говорила мама собирать на масле. Хотя логика атаки допускает использование других библ, винить мы будем именно раздутый глибс.
     
     
  • 2.17, Аноним (7), 14:27, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так как дыра в сигнало-небезопасной реализации вызовы syslog(), то винить мы будем все libc, где нет сигнало-безопасного syslog_r.
     

  • 1.4, Аноним (4), 14:18, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Слава Богу dropbear неуязвим.
     
  • 1.5, birdie (ok), 14:18, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Эксплоита для 64бит пока нет, взлом в теории занимает до недели Бубунту в своём... большой текст свёрнут, показать
     
     
  • 2.13, Аноним (7), 14:24, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На OpenWRT используется MUSL, можно спать спокойно.
    > в других системах на основе стандартных библиотек, отличных от Glibc, теоретически возможна адаптация метода для совершения атаки

    Ну спите, спите.
    FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc.

     
     
  • 3.110, Аноним (110), 00:03, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну спите, спите.
    > FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc.

    Как ты понимаешь, с его ником его мозга немного не хватило чтобы прочитать описание эксплойта и подумать головой что такие гонки и на кучи других конфиг можно попробовать создать.

     
  • 2.55, нах. (?), 16:14, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и вообще, чего раскричались-то? Наши бубубунты 14 и 16 совершенно неуязвимы!

     
     
  • 3.74, пох. (?), 18:01, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    если не включать
     
     
  • 4.132, Аноним (132), 12:06, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > если не включать

    А вот и наши двое из ларца - одинаковы с лица! :)

     
  • 2.61, Аноним (-), 16:46, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На OpenWRT используется MUSL, можно спать спокойно.

    На openwrd обычно используется Dropbear, а эксперты опеннета как обычно про это не в курсе.

    Впрочем, они и про безопасность musl задним числом расскажут. Ведь проверить можно ли гонку создать там - их экспертизы все равно не хватит. Зато языком почесать с умным видом...

     
  • 2.73, Нейм (?), 17:48, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поясните для тупых У бубунтовых используется модифицированный SSH со сломанным ... большой текст свёрнут, показать
     
  • 2.81, Аноним (81), 18:44, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему страшная? Удалённый рут без аутентификации это наоборот классно.
     
     
  • 3.115, Аноним (115), 01:11, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Удалённый рекурсивный-усиленный?
     
  • 2.131, fuggy (ok), 11:02, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Эксплоита для 64бит пока нет, взлом в теории занимает до недели.

    А разговоров то было.

     

  • 1.6, Аноним (6), 14:19, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > что обработчик сигнала вызывает функции, не безопасные при асинхронной обработке сигналов

    haha, classic

    > Уязвимость появилась в результате регрессивного изменения

    которое было сделано в Oct 16, 2020
    Неплохо так бекдор закинули. 3+ года отработал, теперь можно и "закрыть"

    Куда же смотрели тыщщи глаз?..

     
     
  • 2.10, birdie (ok), 14:22, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Куда же смотрели тыщщи глаз?..

    Эти глаза существуют только в фантазиях фанатов open source, которые считают, что "раз есть сорцы, то софт более безопасен априори". По факту имеем что имеем, что open source имеют.

    Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз.

     
     
  • 3.28, Аноним (28), 14:48, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а что, в проприетарном софте нет этих тысяч глаз? в корпорациях работают миллионы программистов и существует практика кодревью, когда трое обязаны смотреть и проверять что четверти наговнокодил, и что, там нет багов? полно!

    вот другое когда ты берешь опенсоурс и у тебя есть возможность открыть исходный код и всё проверить самому, будешь ты это делать или не будешь, другой вопрос

     
     
  • 4.33, Аноним (7), 15:02, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    microsoft windows, прошивки d-link, cisco ios - серьезные проприетарные продукты, но бэкдоры в них находят регулярно.
     
     
  • 5.38, Аноним (38), 15:08, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так это не баги, всё нормально. В теории идея не пропускать сомнительный код, если конечно цель не напихать бэкдорчиков, как в случае с типичными проприетарными продуктами.
     
  • 5.69, Аноним (69), 17:13, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не баги, это бизнес-модель такая, учитывающая широкий круг интересов, включая покрываемые госфинансированием.
     
  • 4.98, Аноним (98), 20:13, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там этих глаз сильно меньше Ибо нанимают все же на минималках С запасом никто ... большой текст свёрнут, показать
     
  • 4.119, ИмяХ (ok), 04:01, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В корпорациях код-ревью проводят специалисты, которые получают за это зарплату. В опенсорсе никого не обязывают проводить код-ревью и тут срабатывает "эффект дженовезе" никто не проверяет код, ибо каждый надеется на то, что его проверит кто-то другой.
     
  • 3.109, Sem (??), 00:01, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз."

    Если это сарказм, то не понятный. Ведь действительно показал. Не успел ещё распространиться, а его уже обнаружили. И иметь даже теоретическую возможность обнаружения из за открытого кода - дорогого стоит.

     
  • 2.12, Аноним (4), 14:24, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Так пара глаз из тысяч как раз и высмотрела.
     
     
  • 3.39, Аноним (-), 15:15, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так пара глаз из тысяч как раз и высмотрела.

    Нет. Проблему нашли специально обученные люди из фирмы, которые этим профессионально занимаются.
    Наверное потому что им дали заказ. Или они решили себя прорекламировать.
    Аналогично их нанимают для аудита коммерческих продуктов. Просто об этом не трезвонят.

    А тыщщи глаз как всегда тупили.

     
     
  • 4.40, Аноним (40), 15:22, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Напоминаю: работа этой фирмы стала возможной потому, что  код сделали открытым для тысяч глаз. Если бы у sshd код был закрытым, то на его анализ был бы совершенно другой ценник, и его бы никто не заказал по такой цене.
     
     
  • 5.46, Аноним (-), 15:41, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Такие фирмы прекрасно живут и на аудите проприетарного кода.
    Плюс ты не знаешь кто, почему и за чьи деньги заказал аудит.

    Не фирма должна быть благодарна, за то, что код оказался открытым, а пингвиноиды за то, что им дыру прикрыли.

    > Если бы у sshd код был закрытым, то на его анализ был бы совершенно другой ценник, и его бы никто не заказал по такой цене.

    С чего это вдруг? Им без разницы открытый код или нет. Работа же делается одна и та же.
    Но даже если, то разумеется Linux Foundation же настолько нищая, что у них нет на это денег.

     
     
  • 6.51, Аноним (40), 16:03, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >С чего это вдруг? Им без разницы открытый код или нет. Работа же делается одна и та же.

    Закрытый - пришлось бы реверсить. Напоминаю: исходник доступен только когда лица с доступом к нему заказали. Представим, что исходник sshd закрыт. Предположим, что доступ к нему есть только у разрабов OpenSSH. В данном случае аудит заказали не разрабы OpenSSH, иначе уведомление об уязвимости было бы в другой форме, а не full disclosure. Тогда получается, что иной формы получить информацию о деталях реализаци продукта, кроме как реверсинг, у компани нет. И добавляются юридические риски. И реверсенный исходник - не сахар. А это уже выливается в на порядки больший ценник.

     
     
  • 7.58, Аноним (-), 16:34, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Закрытый - пришлось бы реверсить.

    WAT??? Речь идет не про реверс чужой программы.

    С закрытым кодом владельцы сами приходят к аудитору, предоставляют ему сорцы и всё что нужно для работы. Иногда даже выделяют сотрудников и/или рабочие места. А если код нельзя передавать, то аудиторы работают на месте с оплатой всего - проживание, питание и тд.

    В таком случае открытость кода - это недостаток, его может на порядки легче ковырять кто угодно. И использовать результаты как захочет. А на ковыряние бинарников какой-то винды придется потратить намного больше усилий.

     
     
  • 8.63, Аноним (69), 16:58, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А владелец - дурак, что ль Платить, кормить и проживать господ аудиторов, когда... текст свёрнут, показать
     
     
  • 9.66, Аноним (66), 17:06, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Владелец отнюдь не дурак Не во всех случаях можно совершенно бесплатно, авторит... текст свёрнут, показать
     
     
  • 10.99, Аноним (99), 22:02, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хоть один штраф покажи То что продаётся на рынке, продаётся AS IS Это покупа... текст свёрнут, показать
     
  • 9.68, Аноним (-), 17:11, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно нет Был бы глупым - побежал открывать код и дарить все права жуликам из... большой текст свёрнут, показать
     
     
  • 10.101, Аноним (99), 22:08, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно только лицо по-серьезнее делать И голословные заявления не устно, а на бу... текст свёрнут, показать
     
  • 9.76, Аноним (76), 18:26, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Заявить можно Продать тяжело, особенно секьюрити продукт 171 Я тебе, конечно... текст свёрнут, показать
     
  • 2.23, Аноним (23), 14:38, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты просто завидуешь что в швинде так нельзя.
     
     
  • 3.50, noc101 (ok), 16:02, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так что завидовать должны линуксятники
     
     
  • 4.53, Аноним (23), 16:07, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема закрытости? В швиндоуз десятки точно таких же бекдоров и никто даже не пытается делать вид что чешется.
     
     
  • 5.62, Аноним (62), 16:46, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > десятки точно таких же бекдоров

    А пруфы будут?
    Пока ты тут только подгазовываешь в лужу.

     
     
  • 6.64, Аноним (69), 17:03, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Статистику по вредоносам посмотри, а потом задайся вопросом, как они проникают и закрепляются в системе.
     
     
  • 7.86, Аноним (81), 18:52, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе статистику показать - ты всё равно заверещишь что это а андроиде/убунте/федоре/etc, а в твоём раче, диване или другом васяниксе такого нет и потому не считается.
     
     
  • 8.135, Аноним (-), 12:14, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А где оно собссно под убунты, андроиды и федоры Впрочем в андроиде софт такой ч... текст свёрнут, показать
     
  • 5.140, noc101 (ok), 12:53, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Проблема закрытости? В швиндоуз десятки точно таких же бекдоров и никто даже
    > не пытается делать вид что чешется.

    Как показали последние новости, на Линуксах также есть бэкдоры!
    Но именно данной проблемы, из новости, в Винде нет.

     
  • 4.134, Аноним (-), 12:12, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не вижу чему там завидовать Тормозная ОС, с гнилыми системными кишками, которые... большой текст свёрнут, показать
     
     
  • 5.139, noc101 (ok), 12:46, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Повзрослей Разговор шел не про зависть Это у тебя фантазия, в реальности всё р... большой текст свёрнут, показать
     
     
  • 6.153, Аноним (-), 20:58, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это как Стань старым хpычoм Переехай на кладбище Да ну нафиг Я заметил, воро... большой текст свёрнут, показать
     
     
  • 7.155, noc101 (ok), 22:48, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Это когда читаешь комментарий и отвечать по существу А не как ребенок, есл... большой текст свёрнут, показать
     
     
  • 8.161, Аноним (-), 05:43, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это говорит человек, который занимается самоутверждением за счет других, и не ск... большой текст свёрнут, показать
     
     
  • 9.172, noc101 (ok), 09:46, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты не заметил, это новость Тут обсуждают новость А не помогают В очередн... большой текст свёрнут, показать
     
  • 4.167, нах. (?), 09:11, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну, кстати, к0к0к0кие ваши докозательства?

    можно предположить что виндовый порт sshа конечно не дергает никакой syslog(), но могли ведь и полениться... или того хуже - вместо этого обратиться к эвентлогу, который тоже не signal-safe

     
     
  • 5.171, noc101 (ok), 09:27, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ну, кстати, к0к0к0кие ваши докозательства?
    > можно предположить что виндовый порт sshа конечно не дергает никакой syslog(), но
    > могли ведь и полениться... или того хуже - вместо этого обратиться
    > к эвентлогу, который тоже не signal-safe

    нюх нюх хватит нюхать наркоту и почитай новость

     
     
  • 6.173, нах. (?), 11:30, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И где в твоей новости что-то про винду?

    (кстати, ее ssh оказывается не показывает свою версию в строке коннекта)

     
     
  • 7.184, noc101 (ok), 16:44, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > И где в твоей новости что-то про винду?
    > (кстати, ее ssh оказывается не показывает свою версию в строке коннекта)

    Там где чел написал про винду, а я сделал замечание, что данной проблемы в винде нет.
    А потом пошло у фанатиков горение, как так нет.А по существу сказать то и нечего.

     
     
  • 8.186, нах. (?), 20:15, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    так и и спрашиваю - почему ты так уверен что в вендепоганой проблемы нет Может ... текст свёрнут, показать
     
     
  • 9.187, noc101 (ok), 22:06, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален OpenSSH 8 5 на системах со стандартной библиотекой Glibc... текст свёрнут, показать
     
     
  • 10.188, нах. (?), 22:39, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    так проблема не в библиотеке Просто именно под нее подобрали уже готовую и про... большой текст свёрнут, показать
     
     
  • 11.189, noc101 (ok), 00:42, 04/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проблема в OpenSSH 8 5 на системах со стандартной библиотекой Glibc Известно, чт... текст свёрнут, показать
     
  • 3.130, Аноним (130), 10:55, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Винду нада переустановить
     
     
  • 4.142, Аноним (142), 13:10, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ненужное на десктопе тоже, причём чаще: надо же все тысячи сортов попробовать, а не все с флешки запускаются в live режиме.
     
     
  • 5.174, нах. (?), 11:31, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ненужное на десктопе тоже, причём чаще: надо же все тысячи сортов попробовать,
    > а не все с флешки запускаются в live режиме.

    диски ж сегодня большие, тоже мне проблема. И растреклятый уефи позволяет (при некоторых если) не аж четыре, а хоть стосороквосемь сортов рядом понаустанавливать.

    Загружается при этом у них конечно все равно винда, но таков путь.


     

     ....большая нить свёрнута, показать (45)

  • 1.8, Аноним (4), 14:22, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Атака основана на том, что обработчик сигнала вызывает функции, не безопасные при асинхронной обработке сигналов, такие как syslog()

    Значит надо засунуть в реализацию всех таких функций по мьютексу.

     
     
  • 2.21, Аноним (7), 14:32, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сигналобезопасный вариант syslog_r есть только стандартной библиотеке openbsd.
     

  • 1.14, slavanap (?), 14:24, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чего на Ubuntu ссылка не рабочая?
     
     
  • 2.19, Аноним (7), 14:31, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Команда безопасности Ubuntu на данный момент не проинформирована об этой уязвимости.
     
     
  • 3.29, Аноним (29), 14:49, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Свистеть не мешки ворочать?

    https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008406.ht

     

  • 1.16, Аноним (4), 14:25, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как там с поддержкой landlock в OpenSSH?
    Как там с поддержкой pledge в Linux?
     
     
  • 2.18, Аноним (7), 14:29, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    pledge — это по факту подмножество функций seccomp.
     

  • 1.24, Аноним (23), 14:39, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Случайность? Не думаю!
     
  • 1.25, Аноним (25), 14:40, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > OpenSSH в OpenBSD проблеме не подвержен, так как в данной системе с 2001 года применяется механизм защиты, блокирующий подобные классы атак.

    Шах и мат.

     
     
  • 2.31, Аноним (23), 14:58, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Типичные данайцев и дары.
     
     
  • 3.36, Аноним (7), 15:05, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Видимо, ФБР очень просило, но удалось договориться на том, что установят только в portable openssh, а свою систему подставлять не будут.
     
  • 3.103, Аноним (-), 22:52, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Типичные данайцев и дары.

    Я б сказал что софт из опенка на всем что не опенок юзать кажется начинает смотреться хреновой идеей. Потому что такие "артефакты портирования" можно огрести.

     
     
  • 4.157, нах. (?), 00:20, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    рут в smtpd у них был свой, собственный, никаких артефактов портирования (потому что нахрен никому такое не уперлось)

    Так что увы, софт из опенка смотрится херовой идеей даже в самом опенке.

    Очень жаль что ssh попал в эти руки и поляна загажена наглухо.

     
  • 2.97, penetrator (?), 20:06, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04.openssh.asc
     

  • 1.26, Аноним (28), 14:40, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    по моему они опять завысили уровень опасности этого CVE
    если поковырять код, то наверняка выяснится что это вовсе не уязвимости
    ох уж эти паникеры!
     
     
  • 2.30, Аноним (23), 14:57, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Экспертиза от немамонта, который даже код не смотрел. Не может поверить что существуют люди которые хотят его обмануть.
     
     
  • 3.35, Аноним (7), 15:04, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Больше выглядит как ирония над соседней новостью, где JS-разработчик жалуется, что ему выносят мозги просьбами закрыть дыру, которая ему кажется неважной.
     
     
  • 4.41, Аноним (23), 15:26, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тебе показали красный молоток и теперь ты думаешь про красный молоток? Я бы тебе книжку посоветовал, но она сложная и ты ее не осилишь.
     
     
  • 5.71, Аноним (70), 17:35, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для порядка заметим, что ниже пришёл автор исходного комментария и подтвердил эту теорию.
     
  • 3.43, Аноним (28), 15:36, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    анон, это был сарказм и аллюзии на прошлую новость.. красиво же совпало!

    экспертиза от немамонта говоришь ;-)

     
  • 2.37, 1 (??), 15:05, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чем выше уровень - тем больше бабла
     
     
  • 3.42, Аноним (23), 15:27, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если делится с тем кто определяет уровень можно поднять свой уровень.
     
  • 2.104, Аноним (-), 22:54, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > по моему они опять завысили уровень опасности этого CVE

    По некоторым данным, писатели эксплойтов уже взяли низкий старт и вступили в гонку за первое место на тему кто быстрей напишет эксплойт и больше хостов разломает.

    А гиморность экспуатации окупается тем что ремотный рут без аутентификации - на дороге не валяется. Так что господа сейчас почти наверняка придумают как гончки заоптимизировать, чтобы за весьма обозримые времена - в дамки.

     

  • 1.49, Аноним (49), 15:58, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не исключается возможность совершения атаки и на 64-разрядные системы - расходимся, пока что это всё теория.
    А те у кого 32битный Pentium 4 - ломать никто не будет.
     
     
  • 2.52, Аноним (52), 16:04, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ... проведение атаки на 64-разрядные системы будет занимать гораздо больше времени, но не более недели

    да, через неделю приходи

     
     
  • 3.54, Аноним (23), 16:09, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет такую уязвимость оставят себе и открывать не будут.
     
  • 3.111, Sem (??), 00:09, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Очень сложно не заметить атаку, когда openssh тебе почти неделю без перерыва будет спамить в логи сообщением "Timeout before authentication".
     

  • 1.56, YetAnotherOnanym (ok), 16:19, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью

    Для успешного проникновения в шахту баллистической ракеты РС-18 понадобится несколько недель, при условии, что охрана будет стоять и смотреть, как вы режете бронекрышку автогеном.

     
     
  • 2.77, penetrator (?), 18:27, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    каждый час логи проверяешь на всех своих серверах?

    что за бред?

     
     
  • 3.79, нах. (?), 18:30, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    каждые шесть же ж!
     
  • 2.112, Аноним (-), 00:18, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Для успешного проникновения в шахту баллистической ракеты РС-18 понадобится несколько
    > недель, при условии, что охрана будет стоять и смотреть, как вы
    > режете бронекрышку автогеном.

    А на практике - придет белый человек, продемонстрирует как работает bunker buster. И окажется что времена проникровения могут быть совсем другие.

     
     
  • 3.123, www2 (??), 07:18, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проникнуть в бункер и разрушить его - не одно и то же. На любой сервер можно сбросить ФАБ-3000. Технически осколки, прошившие его насквозь, в него проникнут. Но взломом это считаться всё равно не будет, потому что цель взлома - получить полный доступ к исправному объёкту.
     
     
  • 4.136, Аноним (-), 12:18, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Проникнуть в бункер и разрушить его - не одно и то же.
    > На любой сервер можно сбросить ФАБ-3000. Технически осколки, прошившие его насквозь,
    > в него проникнут. Но взломом это считаться всё равно не будет,

    Ну, понимаешь, чтобы это сделать - надо подлететь на потребное расстояние. И если ПВО настолько смотрит на это дело сквозь пальцы, это чьи сервера были?! Хотя автогол, конечно, тоже вариант. А админ может rm -rf /usr какойнить сделать по приколу.

    > потому что цель взлома - получить полный доступ к исправному объёкту.

    Вот это зависит от. Скажем любители направлений DoS и DDoS не разделяют данные точки зрения.

     
  • 3.185, YetAnotherOnanym (ok), 17:33, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А на практике - придет белый человек

    На практике "bunker buster" осядет на землю мелкодисперсной пылью вместе с носителем и его экипажем, а обитательница шахты полетит делать "белому человеку" кровопускание, чтобы стал ещё белее.

     

  • 1.75, Аноним (76), 18:20, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Одним из признаков попыток совершения атаки является появление в логе большого числа записей "Timeout before authentication".

    Только что с две сотни инстансов под нож отправил, везде где в логах встречалось. Разарабы три часа сидели без пайплайнов и тестовых деплоев. Ну и ладно, заодно в очередной раз убедились, что авральные планы актуальны и работают.

     
     
  • 2.78, нах. (?), 18:28, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    херассе. А авральный план при котором просто расстреливают каждого второго разраба (или там - каждого в очках, или лысых) у вас тоже есть? Я только поинтересоваться...

     
     
  • 3.82, Аноним (76), 18:45, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что, завидно? Будь это всё в каком-нибудь он-прем дц я бы до сих пор по стойкам прыгал как обезьяна. А тут в два пайплайна всё чётко отработало. Вот она сила облачных технологий. Обожаю эту херню!
     
     
  • 4.87, Аноним (7), 18:54, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно мило будет, если через это отверстие уже поимели гипервизоры вашего провайдера.
     
     
  • 5.91, Аноним (76), 19:26, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это крайне маловероятно как минимум потому, что у AWS нет доступа к их инфраструктуре через публичные сети. Но таки да, в таком случае будет мило.
     
  • 4.92, нах. (?), 19:33, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну ты меня пригласи, как до on-prem дорастешь. Я тебе покажу как не прыгать по стойкам, а просто из уютного кресла повыключать к чертям все "неправильные" серверы.

    Только чур команду будешь ты набирать, а я в этот день пожалуй в отпуск куда-нибудь, где не работает телефон.

     
     
  • 5.94, Аноним (76), 19:41, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как только он-прем дорастёт до клауда по деньгам — тогда и поговорим, и как выключить, и как включить обратно всё так, чтобы как было, только без потенциально взломанного SSH. А до тех пор мне и в пайплайн мышкой клацнуть норм.
     
  • 5.113, Аноним (-), 00:21, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну ты меня пригласи, как до on-prem дорастешь. Я тебе покажу как
    > не прыгать по стойкам, а просто из уютного кресла повыключать к
    > чертям все "неправильные" серверы.
    > Только чур команду будешь ты набирать, а я в этот день пожалуй
    > в отпуск куда-нибудь, где не работает телефон.

    Да, нанимай поха. У тебя все будет хреново, дорого, неэффективно, несекурно - зато нв все будет пафосная отмазка почему г-но это так и задумано и вообще этот ваш линукс сакс, давайте сейнс садомазо устроим, хотя BSD тоже сакс, давайте винду вкатим, во! Где вы бабки на столько серверной винды найдете... ну... вот из зарплаты поха и заплатите по приколу?! Заодно и посмотрим как ему ценник серверной винды :)

     
     
  • 6.126, User (??), 08:06, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки - обычно вообще 1,5-2.
     
     
  • 7.137, Аноним (-), 12:25, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки
    > - обычно вообще 1,5-2.

    Ну да, ну да, только даже на абажуре чего-то более 70% - линух. И виндус апдейт что-то грузит все линуксным CDNом.

    В общем у господ от маздая довольно тухлые идеи на тему что и сколько стоит. За что они и повыпали повсеместно из фавора. За примерно то же в фавор попали облака, делаемые теми кто объекты умеет фигачить дешево и массово, в отличие от вас. Ничего личного, это бизнес, а оплачивать все ваши откаты - нафиг кому надо?!

     
     
  • 8.154, User (??), 21:48, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да - вот только ой, вы к тем облакам отношение не имеете ровным счетом никак... большой текст свёрнут, показать
     
     
  • 9.162, Аноним (-), 05:56, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А при чем тут я Это осбуждение технологий в ходу Да, я не програмил тот же KVM... большой текст свёрнут, показать
     
     
  • 10.164, User (??), 07:17, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Перевожу существуют целые классы систем - и соответственно, проектов внедрения ... текст свёрнут, показать
     
  • 7.156, нах. (?), 00:08, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    там достаточно взглянуть на цену сервера, на котором крутится та винда. Можно даже еще ничего на нее не ставить - уже цена лицензии (которая пока еще разовая и вечная, в отличие от платы за обслуживание ящика куда установлена) покажется полной фигней.

    И да, шва... бесплатные решения почему-то при рассмотрении под таким углом становятся совсем-совсем небесплатными.

     
     
  • 8.163, User (??), 06:58, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чел крутит 100500 Ъ-тырдырпрайс-форчун500-вритуалок на своем десктопе и радуется... текст свёрнут, показать
     
     
  • 9.168, нах. (?), 09:19, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    чо ета сто Целых даже пиццоть У человека ж подкроватный СЕРВЕР Серверная 2022... текст свёрнут, показать
     
     
  • 10.175, User (??), 11:32, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты пжди, пжди Если вместо железки-от-китайцев купить технику, проверенную врем... большой текст свёрнут, показать
     
  • 2.80, penetrator (?), 18:40, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а на проде осталось, и уже в логах болтается месяц? )))
     
     
  • 3.83, Аноним (76), 18:45, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На проде SSH нет нигде.
     
     
  • 4.96, Аноним (96), 19:57, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    telnet ?
     
     
  • 5.102, нах. (?), 22:26, 01/07/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 2.105, Аноним (-), 22:58, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Только что с две сотни инстансов под нож отправил, везде где в
    > логах встречалось.

    Значит, уже началось. Вероятно кто-то уже накорябал эксплойты. Это тот случай когда вопрос - на миллион. Кто первый из блекхетов напишет рабочий сплойт и сделает рабочую атаку - озолотится же. Так что сейчас господа покажут чудеса эффективности и результативновти, на кону джекпот. Может его уже даже кто-то срубил, но, конечно, не признается. Впрочем второе и i++ места тоже будут неплохи для тех кто подсуетится.

     
  • 2.166, ин номине патре (?), 08:39, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Только что с две сотни инстансов под нож отправил, везде где в логах встречалось

    а был бы нормальным админом, а не убунтуем, то вообще ничего не надо было б делать.

     
     
  • 3.169, нах. (?), 09:24, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Только что с две сотни инстансов под нож отправил, везде где в логах встречалось
    > а был бы нормальным админом, а не убунтуем, то вообще ничего не
    > надо было б делать.

    в смысле? Мы, нормальные админы-убунтуи, как раз ничего и не делаем. Я сеть просканил, где было можно (в смысле мне нигде нельзя, но я там где не вызову вопросов у ИБ посмотрел) - нашел штук двадцать теоретически-уязвимых. Там - ентер-прайсный мониторинг, тут какой-то чудо-балансировщик, здесь - кусок управления цитриксовой фермой... короче, ничего трогать нельзя.
    А мои убунты абсолютно ниувизьгвимы, со своим openssh7, а местами даже и 6.
    Пойду попрошу себе премию за этот успешный успех.

     

     ....большая нить свёрнута, показать (23)

  • 1.85, Аноним (85), 18:49, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    JS в браузере и вперёд, на роутер! Это ж какой ботнет можно слепить!
     
     
  • 2.93, нах. (?), 19:34, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    из 32битных систем? Ну так себе, прямо скажем, ботнет.

     
     
  • 3.106, Аноним (-), 22:59, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > из 32битных систем? Ну так себе, прямо скажем, ботнет.

    Да оно и из 64 можно. Просто канительнее. Но возможность на заказ убрать стеночку у вот этого хоста, пусть и повозившись - много кому понравится.

     

  • 1.100, penetrator (?), 22:04, 01/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    какие последствия? прониконовение в систему? как обнаружить не только попытку аттаки но и успешную аттаку?
     
     
  • 2.108, Аноним (108), 23:26, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    rce.
     
  • 2.170, нах. (?), 09:25, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > какие последствия? прониконовение в систему? как обнаружить не только попытку аттаки но
    > и успешную аттаку?

    ну типа если пришел на работу, а там пустое место, диск почищен, а на экране при логине ехидная надпись - точно была успешная.

     

  • 1.120, cheburnator9000 (ok), 05:36, 02/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вы то думали каким образом спецслужбы США взламывают сервера государственной тайной Ирана? Вот таким.
     
     
  • 2.121, Аноним (-), 06:08, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В программное обеспечение Иранских электростанций они внедрили троян, который был принесён с флешкой. Американцы через Сеть не взламывали.
     
     
  • 3.127, Аноним (127), 08:59, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По информации, заслуживающей доверия. Вот бы еще верить всему тому что они говорят...
     
     
  • 4.141, Аноним (-), 13:08, 02/07/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.128, Аноним (128), 10:16, 02/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    LoginGraceTime 0
    MaxStartups 1:50:1

    норм?

     
     
  • 2.138, Аноним (-), 12:35, 02/07/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.148, penetrators (?), 17:45, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    если у тебя будет хотя бы одно соединение от кулхацкера оно будет бесконечным и у тебя лимит стоит 1 штука максимально, шанс что ты после даже после хард ребута успеешь подконектиться не очень большой

    ты бы лучше MaxStartups не трогал если не знаешь про что это

     
     
  • 3.150, Аноним (128), 20:13, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    что я могу не знать из того, что тут https://www.opennet.dev/base/sec/ssh_tips.txt.html написано?
    точно также может быть 10, 20, ... соединений
     

  • 1.129, Anm (?), 10:26, 02/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лет 5 как отказался от SSH на серверах.
    Надоело пачками банить.

     
     
  • 2.143, _oleg_ (ok), 13:23, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О как. И как же ты на серверы ходишь? Физически, ножками?
     
     
  • 3.144, Anm (?), 13:49, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https+perl.
    Вообще не парюсь. Даже редкие попытки прощупать порты со стороны безуспешны.
     
     
  • 4.146, _oleg_ (ok), 13:55, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > https+perl.
    > Вообще не парюсь. Даже редкие попытки прощупать порты со стороны безуспешны.

    А https с сертификатом клиентским или нет? На perl'е что - web-морда?

     
     
  • 5.152, Anm (?), 20:54, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну разумеется. Сертификат только у меня. Остальным даже не предлагается. Да они и порт то нащупать не могут.

    Надо бы развернуть тестовый сервак на месяц и потролить местных мамкиных хакеров с предложением взломать. Пусть попыжатся. ))

     
     
  • 6.176, _oleg_ (ok), 11:38, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну разумеется. Сертификат только у меня. Остальным даже не предлагается. Да они
    > и порт то нащупать не могут.
    > Надо бы развернуть тестовый сервак на месяц и потролить местных мамкиных хакеров
    > с предложением взломать. Пусть попыжатся. ))

    Так это security through obscurity. Работает только пока ты неуловимый Джо. По смыслу тоже самое, что хождение через ssh по сертификату. А всякие критические ошибки и в web-серверах находят ;-).

     
     
  • 7.177, нах. (?), 12:14, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так это security through obscurity. Работает только пока ты неуловимый Джо. По
    > смыслу тоже самое, что хождение через ssh по сертификату. А всякие

    не в данном случае. Тут глупый ssh подождет-подождет сертификата, а потом запишет в лог что недождался и на этом - хряпнется. Заодно и открыв рутовый шелл.

    > критические ошибки и в web-серверах находят ;-).

    обычно такие не уходят дальше пользователя nobody, но тут уникальный случай - вепсервер с рутовым доступом.

    Еще и перл, славный умением своих модулей иногда внезапно выполнить без спросу аргументы строки запроса

     
     
  • 8.179, _oleg_ (ok), 12:26, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В данном конкретном безусловно Но речь как про v это ... текст свёрнут, показать
     
  • 4.147, Аноним (128), 16:34, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а не надо ssh-ом светить на весь интернет. достаточно дать доступ с того айпи, с которого заходишь
     
     
  • 5.149, penetrators (?), 17:46, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и вдруг ты поехал в командировку )))

    а доступа к твоему RDP там нет, а серв лежит )))

     
     
  • 6.159, Аноним (128), 01:22, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    есть решение и этого кейса.
    у меня так динамический айпи, каждый раз разный, но доступ к ssh всё равно у меня только с одного айпи. угадай как.
     
     
  • 7.183, Гений (??), 16:31, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    port knocking
     
  • 7.192, penetrator (?), 18:31, 04/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя же серв лежит, возможно вместе с твоим кнокингом ))) Security through obscurity в чистом виде, и какой ценой?

    С тем же успехом я могу поднять VPN до сервера и ходить по SSH только через тунель.
    И это будет намного секурней и точно также будет зависеть от надежности решения, до первой технической ошибки.

     
  • 3.145, Аноним (145), 13:51, 02/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А на виртуальные виртуальными ножками
     
  • 3.191, Аноним (191), 13:49, 04/07/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (14)

  • 1.160, morphe (?), 01:30, 03/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > «Это невозможно предотвратить», — говорят пользователи только того языка, где это происходит регулярно.
     
  • 1.165, Аноним (165), 08:04, 03/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    уверен, что в дистрибутивах с сертификатом фстек такого нет
     
  • 1.178, Аноним (178), 12:24, 03/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Похоже Qualys оказался сапожником без сапог. Сегодня по RSS от них через https://blog.qualys.com/feed прилетело blog.qualys.com/misc/2024/07/02/general-bas-zakliucheniia-banknot-vo-onlain-kazino

    Судя по полям generator и com-wordpress:feed-additions  взломали через CMS WordPress или администраторы случайно спамерскую новость подтвердили.

     
     
  • 2.180, нах. (?), 14:29, 03/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Похоже Qualys оказался сапожником без сапог.

    чего ж без сапог, с сапогами. Тоже небось пользовали ssh!

     
     
  • 3.190, Аноним (178), 07:50, 04/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Они, кстати, признали инцидент https://blog.qualys.com/misc/2024/07/03/qualys-blog
    У них взломали одну из учётных записей в WordPress с правом постинга.
     

  • 1.193, pavlinux (ok), 12:22, 25/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > проявляется начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc.

    # ssh -V
    OpenSSH_7.9p1 Debian-10+deb10u4, OpenSSL 1.1.1n  15 Mar 2022


    А нас рать! :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру