Canonical zaleca aktualizację OpenSSH w biuletynie USN-2710-1

0
1619
Bezpieczeństwo i szyfrowanie
Bezpieczeństwo i szyfrowanie

Canonical wydało biuletyn Ubuntu Security Notice USN-2710-1, w którym zaleca natychmiastową aktualizację OpenSSH do najnowszej dostępnej wersji. W Ubuntu 15.04 jest to pakiet openssh-server 1:6.7p1-5ubuntu1.2, w Ubuntu 14.04 LTS będzie to openssh-server 1:6.6p1-2ubuntu2.2, a Ubuntu 12.04 LTS natomiast paczka openssh-server 1:5.9p1-5ubuntu1.6.

Pierwszy błąd został odkryty przez dewelopera Moritza Jodeita. Okazuje się, że OpenSSH nieprawidłowo obsługuje nazwy użytkowników, podczas uwierzytelniania PAM. Jeżeli odkryto by dodatkową podatność w nieuprzywilejowanych procesach potomnych OpenSSH, to wspomniana wcześniej luka, pozwoliłaby na zdalny atak z wykorzystaniem profilu użytkownika.

Drugą podatność znalazł Jann Horn. OpenSSH nieprawidłowo obsługuje czas systemu Windows dla wielu połączeń. Można to wykorzystać do wykonania zdalnego ataku poprzez obejście niektórych ograniczeń dostępu (CVE-2015-5352).

Na koniec odkryto także podatność z nieprawidłową obsługą uwierzytelniania przy pomocy klawiatury. Atakujący może wykorzystać odpowiednio spreparowany kod, np.
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost
i wprowadzić do 10 000 haseł, będąc ograniczonym jedynie czasem domyślnej sesji logowania (CVE-2015-5600).

Poprzedni artykułFrOSCon 10 – udostępniono wszystkie nagrania z wykładów
Następny artykułPC-BSD 10.2 z własnymi udoskonaleniami
Michał Olber
Interesuję się głównie sprzętem i działaniem jego pod systemami GNU/Linux. Testuję różne dystrybucje i robię recenzje. Interesuję się działaniem sprzętu pod Linuksem, dzięki czemu wiem, jaki zestaw komputerowy wybierać :)

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj