В клиенте OpenSSH обнаружена серьёзная уязвимость CVE-2016-0777 - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 16.01.2016, 19:30   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 2,447
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию В клиенте OpenSSH обнаружена серьёзная уязвимость CVE-2016-0777

Сегодня стало известно о новой уязвимости в клиенте OpenSSH получившей идентификаторы CVE-2016-0777 и CVE-2016-0778. Ей подвержены все версии программы от 5.4 до 7.1.

Обнаруженный баг позволяет осуществить атаку, приводящую к утечке приватного ключа. Аутентификация ключа сервера предотвращает атаку типа man-in-the-middle, так что злоумышленникам понадобится сначала получить доступ к машине, на которую вы пытаетесь зайти. Хотя, при подключении к машине впервые, не сверяя ключ, MITM возможен.

Клиент OpenSSH версий от 5.4 до 7.1 содержит код экспериментальной функции «roaming», позволяющей продолжать сессии. Серверная часть этой функциональности никогда не была опубликована, но существующий код клиента уязвим — хакеры могут получить часть памяти клиентской машины, содержащую приватный ключ. По умолчанию эта функция включена, поэтому узявимость достаточно серьёзна.

"SSH спроектирован так, что если вы подключитесь к хосту злоумышленника, то хост узнает лишь ваш публичный ключ, но ни в коем случае не приватный. Данная уязвимость позволяет украсть ваш приватный ключ. Вы можете подумать — «я подключаюсь только к своим собственным серверам, так что я в безопасности» — но если в будущем хакеры получат доступ к одной единственной системе то они смогут использовать её чтобы украсть ваш приватный ключ и использовать его для доступа к остальным частям вашей инфраструктуры" - заявил эксперт по безопасности под ником patio11.

Кроме того, в OpenSSH 7.1p2 также устранено переполнение буфера в коде разбора пакетов (CVE-2016-0778), проявляющееся в клиенте SSH при включенном режиме роуминга. Из-за другой ошибки в коде, появившейся в версии OpenSSH 6.8, переполнение буфера не подвержено эксплуатации - результатом атаки может быть лишь крах процесса.
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
В продуктах FireEye обнаружена критическая уязвимость Proxy-Base-News Новости IT 0 16.12.2015 23:20
В CMS Joomla обнаружена критическая 0-day уязвимость Proxy-Base-News Новости IT 0 16.12.2015 11:20
В Microsoft Excel обнаружена критическая уязвимость Proxy-Base-News Новости IT 0 15.12.2015 23:10
Обнаружена уязвимость WPS протокола в WiFi сетях DRIFT Новости IT 0 13.01.2012 09:48




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.