Опубликованы сканеры и эксплоиты для уязвимости в библиотеке libssh - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
25-10-2018, 06:01
Опубликованы сканеры и эксплоиты для уязвимости в библиотеке libssh - «Новости»
Рейтинг:
Категория: Новости

");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});

На прошлой неделе стало известно о критической уязвимости (CVE-2018-10933) в библиотеке libssh, популярном решении для поддержки Secure Shell (SSH) аутентификации. Фактически баг позволяет атакующему легко обойти аутентификацию и получить доступ к уязвимому серверу с включенной SSH-аутентификацией, не вводя пароль. Проблеме подвержены версии libssh вплоть до 0.7.6 и 0.8.4.


Эксплуатация проблемы крайне проста: нужно отправить SHH-серверу сообщение SSH2_MSG_USERAUTH_SUCCESS вместо ожидаемого им SSH2_MSG_USERAUTH_REQUEST. Из-за бага сервер, получивший такое сообщение, буквально поверит атакующему, что тот залогинен и верификация не нужна. Сервер сочтет, что аутентификация прошла успешно, в итоге предоставив доступ.


Теперь бюллетени безопасности, посвященные проблеме, выпустили и многие крупные участники индустрии:


  • разработчики Arch Linux настоятельно рекомендуют пользователям обновиться до libssh 0.8.4-1, использовав команду pacman -Syu "libssh>=0.8.4-1";

  • специалисты Cisco сообщили, что проводят расследование ситуации и выясняют, какие продукты компании могут быть под угрозой;

  • разработчики Debian пишут, что выпустили обновления для libssh, устраняющие уязвимость;

  • представители Dell на официальном форуме сообщают, что продукты компании используют libssh2, и баг не представляет для них проблемы;

  • эксперты F5 Networks предупредили пользователей, что их решения BIG-IP (AFM) версий 12.1.0 — 12.1.3,0.0 — 13.1.1 и 14.0.0 уязвимы перед багом через компонент SSH Proxy. Патчей пока нет;

  • Red Hat сообщает, что проблема затронула лишь libssh, поставлявшуюся с Red Hat Enterprise Linux 7 Extras;

  • создатели SUSE отчитались о том, что уязвимость опасна для SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Module for Basesystem 15, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE Linux Enterprise Workstation Extension 12 SP3, openSUSE Leap 15.0, а также openSUSE Leap 42.3;

  • разработчики Ubuntu предупреждают, что CVE-2018-10933 угрожает Ubuntu 18.04 LTS, Ubuntu 16.04 LTS и Ubuntu 14.04 LTS. В бюллетене безопасности приведены ссылки на доступные патчи.

Разумеется, учитывая серьезность проблемы и легкость ее эксплуатации, уже появились сканеры для обнаружения бага, а также многочисленные эксплоиты. К примеру, разработчики фирмы Leap Security опубликовали python-скрипт, который может использоваться для поиска уязвимых устройств. Proof-of-concept эксплоиты для уязвимости и вовсе множатся, как грибы после дождя (1, 2, 3, 4).


По данным Leap Security, в сети по-прежнему можно обнаружить примерно 1800-1900 серверов с уязвимыми версиями библиотеки libssh, и специалисты призывают администраторов установить патчи как можно скорее.


Источник новостиgoogle.com



Теги: CSS, Linux Enterprise libssh, Leap уязвимости

Просмотров: 2 330
Комментариев: 0:   25-10-2018, 06:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: