В OpenSSH нашли возможность удалённого выполнения кода

В OpenSSH нашли возможность удалённого выполнения кода

В OpenSSH нашли возможность удалённого выполнения кода

В отдельных версиях OpenSSH нашли новую уязвимость, которая в случае эксплуатации может привести к удалённому выполнению кода. Это уже вторая брешь, раскрытая в наборе программ для шифрования сеансов за полторы недели.

Напомним, в начале месяца мы сообщали об уязвимости «RegreSSHion» — CVE-2024-6387, затрагивающей серверный компонент OpenSSH.

Новая брешь, получившая идентификатор CVE-2024-6409 и 7.0 баллов по шкале CVSS, отличается от RegreSSHion. Проблема связана с выполнением кода в дочернем процессе privsep.

Как отмечают специалисты, баг существует из-за так называемого «состояния гонки» в механизме обработки сигналов. Брешь затрагивает исключительно версии 8.7p1 и 8.8p1, которые поставляются в Red Hat Enterprise Linux 9.

На CVE-2024-6409 указал исследователь Александр Песляк, известный под псевдонимом Solar Designer. Интересно, что специалист вышел на уязвимость после анализа RegreSSHion.

«Основное отличие новой бреши от CVE-2024-6387 — наличие состояния гонки и возможность удалённого выполнения кода в дочернем процессе privsep, который работает с пониженными правами», — объясняет Песляк.

«Таким образом, можно сделать вывод, что риски эксплуатации существенно снижаются. Однако киберпреступники всё равно могут предпочесть эксплуатацию CVE-2024-6387 в определённых условиях».

Зарплаты и пенсии не загонят в цифровой рубль, заявила Набиуллина

Глава Банка России Эльвира Набиуллина попыталась сбить градус паники вокруг цифрового рубля. По её словам, страшилки о том, что всех бюджетников и пенсионеров якобы переведут на новую форму денег принудительно, — это абсурд.

В разговоре с журналисткой Наилей Аскер-заде на полях Финансового конгресса ЦБ в Санкт-Петербурге Набиуллина признала, что вокруг цифрового рубля действительно много мифов. Но, по её словам, так бывает почти с любой новой финансовой технологией.

Глава ЦБ напомнила, что похожие опасения когда-то возникали вокруг карт «Мир» и Системы быстрых платежей. Сейчас, как отметила Набиуллина, люди уже активно пользуются этими инструментами и ценят их удобство.

Главный тезис регулятора — цифровой рубль не должен стать обязаловкой. Пользователь сможет сам выбрать, в какой форме получать деньги: наличными, на обычный банковский счёт или в цифровых рублях.

«У вас будет выбор пользоваться или не пользоваться цифровым рублём», — подчеркнула Набиуллина.

По её словам, у Банка России нет задачи просто насыпать побольше цифровых рублей в экономику ради красивой статистики. Новый инструмент должен применяться там, где он действительно будет востребован.

ЦБ видит потенциал цифрового рубля прежде всего в расчетах бизнеса и международных платежах. При этом регулятор хочет сделать инструмент понятным, удобным и выгодным как для граждан, так и для компаний.

RSS: Новости на портале Anti-Malware.ru