Zdalny błąd w OpenSSH – ale wcale nie taki straszny
Adam Haertle dodał 8 listopada 2013 o 15:01 w kategorii Drobiazgi
z tagami: 0day • OpenSSH
Kilka godzin temu pojawiła się informacja o konieczności załatania usługi OpenSSH z uwagi na błąd umożliwiający zdalne wykonanie kodu na serwerze. Na szczęście nie taki demon straszny, jak go malują, ponieważ błąd wykorzystać można dopiero po uwierzytelnieniu użytkownika. Po co to komu? Bywa, że dostawca usługi SSH ogranicza prawa użytkownika (np. z powodu nadużyć), zamiast usuwać konto. Jeśli zatem taki użytkownik może się zalogować, ale np. nie może wykonywać poleceń, to ten błąd pozwala na ominięcie ograniczenia.
Logo projektu
Podatne wersje to OpenSSH 6.2 iOpenSSH 6.3 pod warunkiem, że OpenSSL wspiera AES-GCM. Wersja 6.4 jest już załatana. Zainteresowanym polecamy również wątek na Hacker News.
Podobne wpisy
- Jak Facebook kupił exploita na Tailsa, by pomóc w złapaniu groźnego przestępcy
- Masowy atak na użytkowników iPhone’ów przez dwa lata infekował urządzenia
- Aktualizujcie Tor Browsera – w starszych wersjach jest poważny, trywialny błąd
- Microsoft ukrył kradzież bazy danych swoich niezałatanych błędów
- Historia apokalipsy Windowsów, która była tuż tuż – i niespodziewanie zniknęła
Takie halo o jedną linijkę ;-) :P