В библиотеке libssh2 для Linux закрыли девять брешей - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 21.03.2019, 09:00   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,852
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию В библиотеке libssh2 для Linux закрыли девять брешей

Разработчики Linux-библиотеки libssh2 залатали девять уязвимостей в*очередной версии продукта*—*1.8.1. Эксплуатация брешей позволяла злоумышленникам выполнить вредоносный код на*пораженном устройстве или*вызвать отказ в*обслуживании. Баги обнаружил ИБ-специалист компании Canonical Крис Колсон (Chris Coulson); как заявляют создатели программы, у*них нет сведений об*использовании найденных брешей в*реальных кибератаках.

Четыре уязвимости*вызваны ошибками целочисленного переполнения, которые могут повлечь запись за*пределами выделенного программе участка памяти.
  • CVE-2019-3855 предполагает передачу специального пакета на подключенное к*SSH-хосту устройство, в*результате чего киберпреступники могут запустить вредоносный скрипт.
  • Для эксплуатации CVE-2019-3856 и*CVE-2019-3863 злоумышленникам необходимо отправить ряд клавиатурных запросов, которые будут использоваться библиотекой для*адресации ячеек.
  • Баг CVE-2019-3857 связан с неправильной обработкой команды SSH_MSG_CHANNEL_REQUEST.
Уязвимость CVE-2019-3858 позволяет осуществлять операцию чтения за*пределами выделенного участка памяти. Как выяснили ИБ-специалисты, принадлежащий злоумышленникам сервер может отправить на*клиентское устройство специально созданный SFTP-пакет с*нулевым значением длины полезной нагрузки. В*результате этим данным будет выделен нулевой байт, что приведет к*отказу в*обслуживании или*возможности несанкционированного доступа к*некоторым ячейкам памяти.

Кроме того, разработчики закрыли четыре бреши, которые также давали киберпреступникам возможность выполнять чтение за*границами выделенного диапазона RAM.
  • CVE-2019-3859 связана с неконтролируемым использованием функций _libssh2_packet_require и _libssh2_packet_requirev. Баг позволял передавать на*клиентскую машину команды для*обмена ключами sha1/sha226, запросить список способов авторизации и*установить отклик на*ввод пароля, что могло привести к*отказу в*обслуживании на*целевом устройстве.
  • По мнению специалистов, уязвимости CVE-2019-3860 и*CVE-2019-3861 могут эксплуатироваться через вредоносные SSH- и*SFTP-пакеты.
  • Брешь CVE-2019-3862 связана с ошибкой сравнения памяти и*также приводила к*отказу в*обслуживании.
Ожидается, что разработчики различных вариантов ОС Linux включат пропатченный вариант библиотеки в*ближайшие сборки своих продуктов.

Первую версию libssh пришлось латать в*прошлом году, после того как в*ней нашли серьезную брешь, связанную с*обходом системы аутентификации. Уже через неделю после появления информации о*проблеме независимые разработчики подготовили несколько PoC-эксплойтов и*выпустили сканер для*поиска уязвимых устройств, что подтолкнуло авторов затронутых программ оперативно обновить свои продукты.

Источник: https://threatpost.ru/libssh2-gets-p...ilities/31924/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Правоохранители закрыли торговую площадку xDedic Proxy-Base-News Новости IT 0 29.01.2019 20:40
В библиотеке NumPy обнаружена критическая уязвимость Proxy-Base-News Новости IT 0 25.01.2019 22:10
На официальном сайте WordPress закрыли две XSS-уязвимости Proxy-Base-News Новости IT 0 28.12.2018 19:10
Linux Rabbit/Rabbot внедрял майнеры на Linux-устройства Proxy-Base-News Новости IT 0 10.12.2018 23:40
В библиотеке Libgraphite обнаружено 4 опасные уязвимости Proxy-Base-News Новости IT 0 11.02.2016 11:50




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.