Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 9.6 c устранением уязвимостей"	+/–
Сообщение от opennews (??), 19-Дек-23, 00:25
Опубликован релиз OpenSSH 9.6, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.  В новой версии устранены три проблемы с безопасностью:... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60305
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Релиз OpenSSH 9.6 c устранением уязвимостей"	–3 +/–
Сообщение от Аноним (-), 19-Дек-23, 00:34
> подстановку произвольных shell-команд через манипуляцию со > значениями логина и хоста, содержащими спецсимволы. ... > В ssh добавлена подстановка "%j", раскрываемая в имя хоста, Надо было %log4j параметр называть. Глядя на эту и соседнюю новости.
Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз OpenSSH 9.6 c устранением уязвимостей"	–1 +/–
Сообщение от YetAnotherOnanym (ok), 19-Дек-23, 01:24
> осуществить подстановку произвольных shell-команд через манипуляцию со значениями логина и хоста, содержащими спецсимволы Ля... уязвимости в стиле пятого пыха
Ответить | Правка | Наверх | Cообщить модератору

	4. "Релиз OpenSSH 9.6 c устранением уязвимостей"	+1 +/–
	Сообщение от Аноним (4), 19-Дек-23, 02:06
	> ========== > Workaround > ========== > > Sanitize hostname input вот и весь баг
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Релиз OpenSSH 9.6 c устранением уязвимостей"	+/–
	Сообщение от YetAnotherOnanym (ok), 19-Дек-23, 13:35
	Дык отож - санитайз. Любой ввод надо санитайз. А тут вон чё.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Релиз OpenSSH 9.6 c устранением уязвимостей"	+/–
	Сообщение от jhkhkjh (?), 04-Мрт-24, 18:11
	Жаль что не ты разрабатываешь openssh, таких бы багов не было. Эххх..
	Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз OpenSSH 9.6 c устранением уязвимостей"	–1 +/–
Сообщение от Аноним (5), 19-Дек-23, 05:24
Ну не очень себе страшная уязвимость. Всё упирается в тайминг атаки - анализ задержек между нажатиями клавиш. Если по SSH ходить с паролями а не с ключами в конце 2023, то тут более весомые векторы атаки, которые так и остаются, например подмена (MITM) всего соединения для новых устройств с подменой отпечатка хоста. Кто из админов которые используют пароли сверяют отпечаток? Ну или хоть помнят последние байты вроде :аа:00. А подмену совершить легче чем проводить Terrapin. Пока что дистры в дефолте запрещают логин рута по паролю, только по ключам (PermitRootLogin), думаю в скором будет так же но на всех юзеров, если клиент приходит через публичный адресс в инете а не через локальные сетки RFC1918.
Ответить | Правка | Наверх | Cообщить модератору

8. "Релиз OpenSSH 9.6 c устранением уязвимостей"	+/–
Сообщение от dimuspav (ok), 27-Дек-23, 11:58
фстек читает опеннет))) https://bdu.fstec.ru/vul/2023-08853
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема