Архив метки: OpenSSH

Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP

В реализациях утилиты SCP от проектов OpenSSH, PuTTY и WinSCP выявлены четыре уязвимости, позволяющие на стороне клиента манипулировать выводом информации в терминал, организовать запись произвольных файлов в целевой каталог или изменить права доступа на каталог при обращении к серверу, подконтрольному злоумышленнику.

Выявлен 21 вид вредоносных программ, подменяющих OpenSSH

Компания ESET опубликовала (PDF, 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты серверного процесса или клиента OpenSSH.

Ещё одна уязвимость в OpenSSH, позволяющая определить наличие пользователей

Спустя менее недели с момента обнаружения прошлой проблемы в OpenSSH, позволявшей удалённо определить существует ли пользователь с данным именем в системе, выявлена ещё одна аналогичная уязвимость (CVE-2018-15919). Проблема присутствует с 2011 года и проявляется в том числе в несколько дней назад опубликованном выпуске OpenSSH 7.8.

Уязвимость в OpenSSH, позволяющая определить наличие пользователей

В OpenSSH выявлена проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователь с данным именем в системе.

Критика шифрования ключей в OpenSSH

Недавняя подстановка вредоносного ПО в популярный NPM-модуль eslint, привела к отправке злоумышленникам SSH-ключей доступа, хранящихся в домашней директории нескольких тысяч разработчиков. Многие разработчики не придали этому должного внимания из-за того, что их ключи были зашифрованы с использованием пароля.

Атака на OpenSSH sftp, осуществляемая при некорректной настройке chroot

В реализации sftp из состава OpenSSH выявлена недоработка, которая при редком стечении настроек может привести к выполнению кода в режиме chroot.

Microsoft создала клиент и сервер OpenSSH для Windows 10

Довольно неожиданно список нововведений Windows 10 Fall Creators Update пополнился ещё одним пунктом: в состав системы в качестве дополнительно устанавливаемого компонента вошли клиент и сервер OpenSSH. Эти утилиты интересны в первую очередь системным администраторам, веб-мастерам и прочим IT-специалистам.