Нехай щастить
 
arrow Главное меню








arrow Сети



border 10:14 25.08.2018 | bot border

OpenSSH - узнать логины, присутствующие в системе

Исследователи безопасности из компании Qualys заметили уязвимость в OpenSSH, позволяющую удаленному атакующему угадать логины, зарегистрированные на серверах OpenSSH. Проблеме (CVE-2018-15473) подвержены все версии клиента OpenSSH, выпущенные за последние 20 лет. Учитывая широкое распространение OpenSSH, речь может идти о миллиардах уязвимых устройств - от облачных серверов до IoT- оборудования, а устранение проблемы (соответствующий патч уже выпущен), судя по всему, займет довольно долгое время.

Для успешной атаки злоумышленнику, пытающему авторизоваться на уязвимом сервере, потребуется отправить специально сформированный запрос аутентификации. Сервер может отреагировать на запрос двумя различными способами - если включенный в запрос логин не существует, сервер ответит сообщением об ошибке, а в случае наличия указанного имени пользователя, соединение будет прервано без ответа. Подобное поведение позволяет злоумышленнику угадать действительные логины, зарегистрированные на SSH-сервере, и подобрать пароли с помощью брутфорс-атак или перебора по словарю.

Уязвимость устранена с выпуском стабильных версий OpenSSH 1:6.7p1-1 и 1:7.7p1-1, а также в нестабильной ветке 1:7.7p1-4. Эксперты опубликовали PoC-код для проверки серверов на наличие уязвимости ( 1 , 2 , 3 ). Кроме прочего, исследователи представили пошаговую инструкцию по проверке серверов на присутствие проблемы.

В случае, если по каким-либо причинам системные администраторы не могут установить корректирующие патчи, рекомендуется применить различные методы по предотвращению эксплуатации проблемы, в частности, отключить клиент OpenSSH и использовать альтернативные методы авторизации на устройствах, или, если это невозможно, деактивировать авторизацию с помощью публичного ключа в OpenSSH.

Источник: Https://www




arrow Социальные
ВКонтакте




arrow Профиль



arrow Пользователи

Всего на сайте: 2143
Пользователей: 89
Гостей: 2054

Local.blog МЕТА - Украина