Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Олег Иванов 17 Августа 2018 - 08:23

...

Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Исследователи сообщают о серьезной уязвимости в OpenSSH, которая позволяет удаленному злоумышленнику определить, есть ли на атакуемом сервере определенный пользователь (username enumeration).

О проблеме безопасности сообщили эксперты Дариуш Титко и Михал Сайдак.

Исследователи так описывают брешь:

«Мы обнаружили, что удаленный атакующий может вычислить, существует ли определенный пользователь на целевом сервере OpenSSH».

  static int
  userauth_pubkey(struct ssh *ssh)
  {
 ...
 if (!authctxt->valid) {
 debug2("%s: disabled because of invalid user", __func__);
 return 0;
 }
 if ((r = sshpkt_get_u8(ssh, &have_sig)) != 0 ||
 (r = sshpkt_get_cstring(ssh, &pkalg, NULL)) != 0 ||
 (r = sshpkt_get_string(ssh, &pkblob, &blen)) != 0)
 fatal("%s: parse request failed: %s", __func__, ssh_err(r));

Помимо этого, злоумышленник может попытаться аутентифицировать пользователя с помощью специально созданного вредоносного пакета.

На данный момент брешь не имеет CVE-идентификатора, и исследователи убеждены, что ей должны его присвоить.

«Мы считаем, что этой уязвимости нужно дать идентификатор CVE, она затрагивает все существующий версии OpenSSH (мы протестировали вплоть до OpenSSH 2.3.0, выпущенной в ноябре 2000 года)».

Специалисты опубликовали POC-код на GitHub. Они обеспокоены тем, что об уязвимости уже публично известно, а патча все еще нет. Это подвергает многих пользователей риску.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Мая 2026 - 15:41

Уязвимости программ GenAI (генеративный искусственный интеллект) Малый и средний бизнес Корпорации ГК «Солар»

45% российских компаний внедряют ИИ без бюджета на его защиту

На ЦИПР-2026 представили первые данные исследования «Солара», Б1, Ассоциации ФинТех и HiveTrace о внедрении ИИ в российских компаниях. Картина получилась ожидаемая: бизнес активно тащит нейросети в процессы, но безопасность местами опять идёт где-то следом.

По данным исследования, около 80% российских компаний уже в том или ином виде интегрируют ИИ в бизнес-процессы.

Ещё 35% считают его стратегическим приоритетом на ближайшие годы. При этом 45% компаний не выделяют отдельный бюджет на защиту ИИ, а формализованные политики ИБ для ИИ-сервисов есть только у 25%.

То есть ИИ уже помогает писать код, обрабатывать документы, отвечать клиентам, прогнозировать спрос, искать недвижимость, оценивать чистоту автомобилей и даже подбирать шихтовые материалы для сталеплавильной печи. Но отдельный вопрос «а кто всё это будет защищать?» у многих пока обходится стороной.

В рамках сессии на ЦИПР-2026 эксперты привели кейсы «Ростелекома», «Делимобиля», Альфа-Банка, «АльфаСтрахования», ТМК и «Циана». Компании используют ИИ в контакт-центрах, базах знаний, разработке, триаже уязвимостей, динамическом ценообразовании, оценке фото, модерации, поиске недвижимости и промышленных расчётах.

При этом сами участники рынка хорошо понимают, где болит. Среди ключевых рисков использования ИИ компании называют утечки данных — их отметили 80% респондентов. Ещё 60% опасаются некорректной генерации контента, а 54% — компрометации источников данных и баз знаний.

Есть и внешние угрозы. Российские компании считают наиболее опасными автоматизацию разведки и атак с помощью ИИ (67%), генерацию вредоносного кода (54%) и дипфейки, которые усиливают социальную инженерию (51%).

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!