DarkMoney.se
DаVinci
BSC.GLOBA
SAUL
Fedotov
TurboNal
superman
100btc
Creader
Henry Morgan
Cashbank
HackNet
E63sAMG
Мастер
passero
Piter.pen16
Asprom
uslugimail
Сан
Adam Worth
Adam Worth

Вернуться   DarkMoney.se > Безопасность > Безопасность и анонимность


Безопасность и анонимность
Здесь обсуждаются все вопросы, связанные с безопасностью "на производстве" и вне его, и все, что связанно с анонимностью в работе. Допускается реклама своих услуг по данной тематике.

sklad
100btc
Ketama
E63sAMG
Mandela
Black Russia
BespriZornik
Обнальщик
Ответ
 
LinkBack Опции темы Опции просмотра
Старый 25.10.2018, 08:06   #1
Безупречный
 
Аватар для EIViS
 
Регистрация: 16.09.2018
Адрес: Lonsdal_98@securejabber.me
Сообщений: 241
Депозит: 2222 RUR
Сделок через ГАРАНТА: 0
Стрелка Уязвимость в libssh

Уязвимость в libssh, популярной библиотеке, поддерживающей протокол аутентификации Secure Shell (SSH), делает тысячи, если не больше, корпоративных серверов открытыми для атак.

Эта Уязвимость позволяет злоумышленнику обойти процедуры проверки подлинности и получить доступ к серверу с включенным соединением SSH без необходимости ввода пароля.

Злоумышленник может сделать это, отправив серверу SSH сообщение "SSH2_MSG_USERAUTH_SUCCESS" вместо сообщения "ssh2_msg_userauth_request", которое обычно ожидает сервер и которое libssh использует в качестве знака, который должна инициировать процедура проверки подлинности.

Из-за ошибки кодирования, когда libssh получает сообщение "SSH2_MSG_USERAUTH_SUCCESS", он интерпретирует это как "аутентификация уже состоялась" и предоставит злоумышленнику доступ к локальному серверу.

Уязвимость, которая отслеживается как CVE-2018-10933, была представлена в libssh 0.6.0, выпущенном в январе 2014 года. В libssh команда выпустила версии 0.8.4 и 0.7.6 вчера для решения этой ошибки.

Ошибка была обнаружена Питером Уинтером-Смитом из NCC Group.

По данным Амит Серпер, начальник Службы безопасности научные исследования в Cybereason, библиотеке, влияет не менее 3000 серверов, на основе беглого поиска , выполняемых с помощью Шодан поисковых систем.

Уязвимость так же плоха, как и в плане кодирования, но она не так плоха, как в плане воздействия на реальные вычисления.

Причина в том, что большинство серверов, устройств IoT и персональных компьютеров предпочитают реализовывать поддержку SSH через библиотеку openssh вместо libssh.

Одним из крупнейших сайтов, поддерживающих libssh, является GitHub, но команда безопасности сайта уже заявила, что они не пострадали. GitHub использует libssh для предоставления альтернативного метода входа SSH для корпоративных клиентов. Если метод авторизации на основе libssh был уязвим, злоумышленник мог получить доступ к исходному коду и интеллектуальной собственности крупнейших компаний мира.

"Мы используем пользовательскую версию libssh; SSH2_MSG_USERAUTH_SUCCESS с сервером libssh не полагается для pubkey на основе auth, который является то, что мы используем библиотеку для. Патчи были применены из-за излишней осторожности, но [на GitHub предприятия] не подвержены уязвимости CVE-2018-10933," компания сказала в Twitter.

Уязвимый код присутствует только в серверном коде libssh, что означает, что наличие SSH-клиента на основе libssh, установленного на вашем компьютере, не позволит злоумышленнику получить доступ к вашей системе, если клиент также не настроен для работы в качестве сервера SSH.

На CVE-2018-10933 еще нет доступных общественных эксплойтов, но они тривиальны, чтобы собрать вместе, поэтому они, скорее всего, появятся в интернете в следующие дни.
__________________
Я - не художник, но рисую свои мечты. Я - не писатель, но пишу свою книгу жизни.
EIViS вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Bankman
BespriZornik
Обнальщик


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, vBulletin Solutions, Inc. Перевод:
zCarot
darkmoney.se