Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет
Главная » Новости
Мониторинг ИТ-инфраструктурыВ эфире AM Live мы обсудим, как создать работающий мониторинг в ИТ, который работает на бизнес. От базовых принципов observability до внедрения SRE-подходов и управления надежностью через SLI/SLO. Разберем какие метрики использовать для мониторинга состояния сервисов, как строить платформу мониторинга и как интегрировать ее с ITSM, CI/CD и SecOps. Цель — превратить мониторинг из простого наблюдения в инструмент управления.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Олег Иванов 17 Августа 2018 - 08:23
...
Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Исследователи сообщают о серьезной уязвимости в OpenSSH, которая позволяет удаленному злоумышленнику определить, есть ли на атакуемом сервере определенный пользователь (username enumeration).

О проблеме безопасности сообщили эксперты Дариуш Титко и Михал Сайдак.

Исследователи так описывают брешь:

«Мы обнаружили, что удаленный атакующий может вычислить, существует ли определенный пользователь на целевом сервере OpenSSH».

  static int
  userauth_pubkey(struct ssh *ssh)
  {
 ...
 if (!authctxt->valid) {
 debug2("%s: disabled because of invalid user", __func__);
 return 0;
 }
 if ((r = sshpkt_get_u8(ssh, &have_sig)) != 0 ||
 (r = sshpkt_get_cstring(ssh, &pkalg, NULL)) != 0 ||
 (r = sshpkt_get_string(ssh, &pkblob, &blen)) != 0)
 fatal("%s: parse request failed: %s", __func__, ssh_err(r));

Помимо этого, злоумышленник может попытаться аутентифицировать пользователя с помощью специально созданного вредоносного пакета.

На данный момент брешь не имеет CVE-идентификатора, и исследователи убеждены, что ей должны его присвоить.

«Мы считаем, что этой уязвимости нужно дать идентификатор CVE, она затрагивает все существующий версии OpenSSH (мы протестировали вплоть до OpenSSH 2.3.0, выпущенной в ноябре 2000 года)».

Специалисты опубликовали POC-код на GitHub. Они обеспокоены тем, что об уязвимости уже публично известно, а патча все еще нет. Это подвергает многих пользователей риску.

Следующая главная новость »
AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Минцифры отложило спорную плату за зарубежный интернет свыше 15 ГБ
Екатерина Быстрова 21 Мая 2026 - 20:21
Соответствие законодательству РФ Общее Персональный VPNАнонимайзерыСоответствие требованиям регуляторов
Минцифры отложило спорную плату за зарубежный интернет свыше 15 ГБ

Минцифры, судя по всему, отложило введение платы за мобильный международный трафик свыше 15 ГБ в месяц. Изначально запуск планировали до 1 мая, затем срок сдвинули на 1 июня, а теперь обсуждается перенос ближе к осени. Будем надеяться, что перенесут ещё дальше.

По данным СМИ, операторы не успевают подготовить системы, провести тесты и нормально объяснить абонентам, за что именно с них будут брать деньги. А объяснять есть что.

Главная проблема в том, что операторы не могут надёжно отделить VPN-трафик от обычного международного соединения.

Поэтому под плату может попасть не только пользователь, который сознательно гоняет весь интернет через зарубежный сервер, но и тот, у кого трафик до российского ресурса внезапно пошёл через соседние страны из-за особенностей маршрутизации.

Человек может сидеть в Новосибирске, открывать российский сайт, а маршрут данных пройдёт через Казахстан, Китай или Монголию. Формально — международный трафик. Фактически — пользователь просто хотел открыть страницу, а не купить себе интернет-турне по Азии.

По обсуждаемой схеме лимит должен составить 15 ГБ в месяц, а всё сверх него может оплачиваться отдельно. В качестве возможной цены назывались 150 рублей за 1 ГБ. Напомним, в марте подсчитали, что 80 ГБ зарубежного трафика в месяц — уже +10 тыс. рублей для россиян.

Есть и юридический нюанс: операторы обязаны предупреждать абонентов об изменениях тарификации за 10 дней. Если бы запуск действительно состоялся 1 июня, уведомления должны были прийти уже 21–22 мая. Раз их нет, версия о переносе выглядит вполне логично.

AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!
Yandex B2B Tech запустила Stackland для разработки в закрытом контуре
Новость
Yandex B2B Tech запустила Stackland для разработки в закрыто...
Популярную ИИ-библиотеку LiteLLM заразили бэкдором через PyPI
Новость
Популярную ИИ-библиотеку LiteLLM заразили бэкдором через PyP...
Полностью отключить Telegram в России без изоляции интернета не получится
Новость
Полностью отключить Telegram в России без изоляции интернета...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.