Вышел OpenSSH 7.0
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Вышел OpenSSH 7.0

Александр Панасенко 13 Августа 2015 - 09:43
...

Вышла седьмая версия набора программ OpenSSH для шифрования сеансов связи с использованием протокола SSH 2.0. Набор включает в себя клиент sftp и поддерживает установку на серверы. OpenSSH пока еще поддерживает старые протоколы SSH 1.3 и 1.5. Поддержку можно активировать во время компиляции.

Ведущий разработчик Тео де Раадт с коллегами благодарит все сообщество OpenSSH за непрерывное участие в жизни проекта. Он говорит, что основные изменения в 7.0 по сравнению с версией 6.9 направлены на очистку от слабой устаревшей и/или небезопасной криптографии.

С точки зрения безопасности исправлены некорректные настройки TTY и уязвимость с обходом MaxAuthTries при аутентификации. В портативной версии OpenSSH исправлен баг с повышением привилегий и еще один баг с удаленным исполнением кода, пишет xakep.ru.

Разработчики называют четыре нововведения.

  • ssh_config(5): добавлена опция PubkeyAcceptedKeyTypes для контроля, какие типы открытых ключей можно принимать во время аутентификации пользователя.
  • sshd_config(5): добавлена опция HostKeyAlgorithms для контроля, какие типы открытых ключей можно принимать во время аутентификации хоста.
  • ssh(1)sshd(8): расширены опции для CipherMACKexAlgorithmHostKeyAlgorithmPubkeyAcceptedKeyType иHostbasedKeyType, чтобы разрешить добавление набора алгоритмов, а не просто заменять один на другой. Перед опцией теперь можно ставить значок ‘+’, чтобы добавлять тот или иной алгоритм, шифр и т.д.
  • sshd_config(5)PermitRootLogin теперь понимает аргумент prohibit-password как менее амбициозный синонимwithout-password.

В OpenSSH 7.0 отключена поддержка протокола SSH 1.0 по умолчанию во время компиляции. Точно так же по умолчанию во время компиляции больше не активируется поддержка ключей diffie-hellman-group1-sha1 размером 1024 бит, хостов и пользовательских ключей ssh-dssssh-dss-cert-*. Вообще убрали поддержку формата сертификатов v00, а опция PermitRootLogin по умолчанию изменила значение с yes на prohibit-password.

Всех заранее предупреждают, что в следующей версии OpenSSH будет отключена поддержка некоторых криптографических объектов, в том числе ключей RSA меньше 1024 бит (сейчас минимальная длина ключа 768 бит). По умолчанию будет отключена поддержка шифров blowfish-cbccast128-cbc, всех вариантов arcfour и rijndael-cbcдля AES. Кроме того, по умолчанию не будут поддерживаться алгоритмы HMAC на основе MD5.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

ИИ-помощник Meta помогал угонять редкие ники в Instagram
Екатерина Быстрова 01 Июня 2026 - 15:09
Уязвимости программ Домашние пользователиКорпорации
ИИ-помощник Meta помогал угонять редкие ники в Instagram

Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) оказался в центре неприятной истории: критическая уязвимость в системе поддержки на базе Meta AI позволяла злоумышленникам перехватывать аккаунты через процедуру восстановления пароля.

По данным исследователей, проблема была не во взломе серверов Meta, а в логике самого ИИ-ассистента.

Атакующие начинали диалог с чат-ботом и специальными запросами убеждали его отправить коды или ссылки для сброса пароля посторонним людям. Жёсткой проверки личности владельца аккаунта и нормальных ограничений на такие запросы, судя по всему, не хватало.

В результате для атаки было достаточно знать имя пользователя. Дальше дело техники: заставить бота поверить, что перед ним законный владелец профиля. Классический взлом? Нет. Скорее социальная инженерия, только жертвой стал не человек из поддержки, а ИИ.

Одними из первых о проблеме сообщили исследователи ZachXBT и Dark Web Informer. По их данным, злоумышленники охотились за дорогими и редкими никами в Instagram — короткими, красивыми и хорошо продающимися. Среди целей упоминались аккаунты вроде @hey и @jowo. Такие профили на подпольных рынках могут стоить огромных денег, иногда речь идёт о сотнях тысяч долларов.

Украденные аккаунты, как утверждается, быстро выставляли на продажу в закрытых телеграм-каналах.

Meta заявила, что её инфраструктура не была скомпрометирована, а проблему исправили вечером в пятницу. Компания подчеркнула, что речь шла об ошибке, позволявшей сторонним лицам запрашивать письма для сброса пароля некоторых пользователей.

Отдельно отмечается, что аккаунты с двухфакторной аутентификацией не пострадали.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
Минцифры меняет структуру: реорганизация может затронуть ИБ, ИИ
Новость
Минцифры меняет структуру: реорганизация может затронуть ИБ,...
В тестовой сборке Android научится сам вводить ПИН-код сим-карты
Новость
В тестовой сборке Android научится сам вводить ПИН-код сим-к...
Поддельные ChatGPT крадут аккаунты пользователей Android
Новость
Поддельные ChatGPT крадут аккаунты пользователей Android

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.