Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет
Главная » Новости

Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Олег Иванов 17 Августа 2018 - 08:23
...
Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Исследователи сообщают о серьезной уязвимости в OpenSSH, которая позволяет удаленному злоумышленнику определить, есть ли на атакуемом сервере определенный пользователь (username enumeration).

О проблеме безопасности сообщили эксперты Дариуш Титко и Михал Сайдак.

Исследователи так описывают брешь:

«Мы обнаружили, что удаленный атакующий может вычислить, существует ли определенный пользователь на целевом сервере OpenSSH».

  static int
  userauth_pubkey(struct ssh *ssh)
  {
 ...
 if (!authctxt->valid) {
 debug2("%s: disabled because of invalid user", __func__);
 return 0;
 }
 if ((r = sshpkt_get_u8(ssh, &have_sig)) != 0 ||
 (r = sshpkt_get_cstring(ssh, &pkalg, NULL)) != 0 ||
 (r = sshpkt_get_string(ssh, &pkblob, &blen)) != 0)
 fatal("%s: parse request failed: %s", __func__, ssh_err(r));

Помимо этого, злоумышленник может попытаться аутентифицировать пользователя с помощью специально созданного вредоносного пакета.

На данный момент брешь не имеет CVE-идентификатора, и исследователи убеждены, что ей должны его присвоить.

«Мы считаем, что этой уязвимости нужно дать идентификатор CVE, она затрагивает все существующий версии OpenSSH (мы протестировали вплоть до OpenSSH 2.3.0, выпущенной в ноябре 2000 года)».

Специалисты опубликовали POC-код на GitHub. Они обеспокоены тем, что об уязвимости уже публично известно, а патча все еще нет. Это подвергает многих пользователей риску.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Подключение МФО к ЕБС слишком дорого и сложно
Яков Шпунт 02 Декабря 2025 - 12:18
Соответствие законодательству РФ Общее Биометрические системы аутентификацииСоответствие требованиям регуляторов
Подключение МФО к ЕБС слишком дорого и сложно

Микрофинансовые организации (МФО) столкнулись с серьёзными трудностями при прямом подключении к Единой биометрической системе (ЕБС). По их словам, это оказалось одновременно сложным и затратным процессом. Ранее «Ведомости» приводили оценки самих МФО — от 30 до 80 млн рублей.

Однако, по оценке, которую озвучила на Национальной конференции по микрофинансированию экономический советник управления надзора за микрофинансовым рынком департамента небанковского кредитования Банка России Лилия Беляева, подключение к ЕБС может обойтись МФО уже в 100 млн рублей.

По словам Беляевой, высокая стоимость и сложность проекта объясняются несколькими факторами. Прежде всего, ЕБС изначально создавалась под задачи банков и не учитывает особенности работы МФО. Кроме того, сама система крайне сложна, а интеграция с ней требует компетенций, которыми многие МФО не обладают.

Ситуацию усугубляло и то, что Центр биометрических технологий (ЦБТ), оператор ЕБС, до недавнего времени неохотно предоставлял консультации и информационную поддержку, хотя в последнее время положение начало улучшаться.

На конференции прозвучало предложение создать единый консультационный центр для МФО и сеть компаний-интеграторов, которые помогут с внедрением биометрии. Однако, как уточнила Беляева, пока готовое комплексное решение есть лишь у одной компании.

Некоторые участники рынка надеялись, что функции по биометрической идентификации клиентов МФО смогут взять на себя банки, уже внедрившие подобные технологии. Однако Минцифры и МВД не поддержали использование коммерческих сервисов для таких целей.

К тому же банки пока не готовы предоставлять услуги по внешнему обслуживанию ЕБС. По оценкам, пять наиболее продвинутых банков смогут начать работать с МФО в этом формате не раньше 2027 года.

В результате из 11 МФО, которые с 1 марта должны начать идентифицировать клиентов через ЕБС, реально готовы лишь три. Тем не менее, как отметил генеральный директор компании Webbankir Андрей Пономарёв, остальные организации всё же найдут способ подключиться к системе, если намерены продолжать работу на рынке.

Кроме того, как напомнил руководитель направления по развитию бизнеса ЦБТ Максим Охалов, совместно с Минцифры прорабатывается упрощённый порядок использования биометрии для клиентов МФО. Для идентификации будет достаточно сделать одну фотографию через Госуслуги или мессенджер MAX.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Каждый пятый россиянин меняет пароль только после взлома почты
Новость
Каждый пятый россиянин меняет пароль только после взлома поч...
Мошенники маскируются под налоговую службу и крадут аккаунты Госуслуг
Новость
Мошенники маскируются под налоговую службу и крадут аккаунты...
Фишинг в Telegram упал почти в 7 раз после блокировки звонков
Новость
Фишинг в Telegram упал почти в 7 раз после блокировки звонко...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.