Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Олег Иванов 17 Августа 2018 - 08:23

...

Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Исследователи сообщают о серьезной уязвимости в OpenSSH, которая позволяет удаленному злоумышленнику определить, есть ли на атакуемом сервере определенный пользователь (username enumeration).

О проблеме безопасности сообщили эксперты Дариуш Титко и Михал Сайдак.

Исследователи так описывают брешь:

«Мы обнаружили, что удаленный атакующий может вычислить, существует ли определенный пользователь на целевом сервере OpenSSH».

  static int
  userauth_pubkey(struct ssh *ssh)
  {
 ...
 if (!authctxt->valid) {
 debug2("%s: disabled because of invalid user", __func__);
 return 0;
 }
 if ((r = sshpkt_get_u8(ssh, &have_sig)) != 0 ||
 (r = sshpkt_get_cstring(ssh, &pkalg, NULL)) != 0 ||
 (r = sshpkt_get_string(ssh, &pkblob, &blen)) != 0)
 fatal("%s: parse request failed: %s", __func__, ssh_err(r));

Помимо этого, злоумышленник может попытаться аутентифицировать пользователя с помощью специально созданного вредоносного пакета.

На данный момент брешь не имеет CVE-идентификатора, и исследователи убеждены, что ей должны его присвоить.

«Мы считаем, что этой уязвимости нужно дать идентификатор CVE, она затрагивает все существующий версии OpenSSH (мы протестировали вплоть до OpenSSH 2.3.0, выпущенной в ноябре 2000 года)».

Специалисты опубликовали POC-код на GitHub. Они обеспокоены тем, что об уязвимости уже публично известно, а патча все еще нет. Это подвергает многих пользователей риску.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 08:37

Соответствие законодательству РФ Домашние пользователи Государство Соответствие требованиям регуляторов

RuStore не пустил Ласточку: мессенджер споткнулся о российский магазин

Мессенджер «Ласточка» с открытым исходным кодом продолжает готовиться к публичному запуску. Команда проекта за последние два месяца занималась не хайповыми фичами, а тем, что обычно вспоминают в последний момент: юридической обвязкой, уведомлениями, регуляторами и прочей бумажной волокитой.

Разработчики подали уведомление об обработке персональных данных по 152-ФЗ, а также занялись вопросом включения в реестр организаторов распространения информации.

Команда получила официальный ответ Роскомнадзора. Из него следует важная, но не самая очевидная мысль: сам РКН не решает, кто ОРИ, а кто просто мимо проходил.

Критерии отнесения к ОРИ в правилах прямо не прописаны, а инициатива может идти как от самого владельца ресурса, так и от уполномоченных органов. Если сервис умеет принимать, передавать и обрабатывать электронные сообщения, рано или поздно к нему могут появиться вопросы.

«Ласточка» решила не ждать, пока постучат, и пошла по пути легализации заранее. Параллельно команда открыла белый список для первых тестеров. Пока доступ получили около 30 человек. Массовую регистрацию не включают специально: сначала месяц обратной связи, баги, UX, доработка клиентов.

Сейчас у проекта уже есть веб-клиент на React, базовый обмен сообщениями, группы, каналы и админ-панель для модерации. Android-клиент догоняет веб по функциям.

Отдельный аттракцион — регистрация в RuStore. Команда подала приложение в российский магазин, получила переписку, посмотрела на происходящее и, судя по тону поста, слегка зависла.

Разработчики говорят, что интерес от пользователей есть, а значит, проект продолжит развиваться. Идеи, обсуждения и критика приветствуются. Массовый запуск обещают после этапа тестирования.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!