OpenSSH 9.8 исправляет критическую уязвимость rce
Эта уязвимость известна как CVE-2024-6387 и называется "regreSSHion". Она представляет собой регрессию, то есть возвращение, ранее исправленной уязвимости, которая фиксировалась как CVE-2006-5051 в 2006 году. Это означает, что ошибка, которую ранее устранили, вернулась в более поздних версиях программного обеспечения. Эксперты из Qualys обнаружили, что в процессе сервера OpenSSH существует состояние гонки( состояние гонки - это нежелательная ситуация, возникающая, когда устройство или система пытается выполнить две или более операций одновременно, но из-за особенностей устройства или системы операции должны выполняться в надлежащей последовательности, чтобы быть выполненными правильно) которое позволяет удаленным злоумышленникам выполнять непроверенный код с правами суперпользователя (root). Хотя использование этой уязвимости считается сложным, оно теоретически может привести к полному захвату системы, открывая возможность для установки вредоносного ПО или создания бэкдоров. Для успешной атаки может потребоваться несколько попыток, поскольку это состояние гонки. Проблема затрагивает версии OpenSSH от 8.5p1 до 9.7p1, особенно в системах на базе библиотеки GNU C или glibc. Уязвимость была исправлена в версии 9.8, которая теперь реализована в основных дистрибутивах, таких как Ubuntu. Пользователи, не имеющие возможности обновить OpenSSH, могут устранить уязвимость, установив значение параметра LoginGraceTime в конфигурационном файле /etc/ssh/sshd_config равным 0. Это вызовет временный отказ в обслуживании, остановив выполнение вредоносного кода. Согласно оценкам, более 14 миллионов систем подвержены риску из-за этой уязвимости, поэтому исследователи Qualys настоятельно рекомендуют пользователям как можно скорее установить последние исправления для OpenSSH.
Нравится играть в онлайн игры присоединяйся к порталу бесплатных онлайн игр клац🎮клац 🔗 онлайн игры бесплатно
HTML Academy - Курсы для каждого, кто хочет окунуться в мир вёрстки и программирования. Тренажёры помогут освоить веб-технологии и создать сайт, а профессиональные курсы подготовят к старту карьеры в IT.