Очень опасная уязвимость в OpenSSH

27 июня 2002 года

В OpenSSH версии старше 2.3.1 и вплоть до 3.3 обнаружена уязвимость, позволяющая злоумышленнику получить удаленно привилегии суперпользователя. Апдейтов для FreeBSD еще нет (OpenSSH в RedHat в настройках по умолчанию не подвержен проблеме), поэтому срочно прикрывайте 22 порт фаерволом или устанавливайте OpenSSH 3.4p1 (кроме данной проблемы там исправлено ряд потенциальных уязвимостей), так же рекомендую включить после установки опцию «UsePrivilegeSeparation yes» (появилась в версии 3.2).

Эксплоитов, использующих переполнения в обработчике «challenge-response» аутентификации (протокол SSH2), пока не видно, что хоть немного, но радует. Если возможности для срочного апгрейда нет, то для предотвращения проблемы нужно убедиться в отсутствии challenge-response аутентификации и PAMAuthenticationViaKbdInt (использовать опцию «ChallengeResponseAuthentication no» и «PAMAuthenticationViaKbdInt no» в sshd_config).

Общие рекомендации для увеличения безопасности OpenSSH:

В /etc/ssh/sshd_config: AllowUsers user1 user2 user3@host.ru ChallengeResponseAuthentication no PermitEmptyPasswords no PermitRootLogin no Protocol 2 UseLogin no X11Forwarding no PAMAuthenticationViaKbdInt no UsePrivilegeSeparation yes# убрать все SubsystemОграничить вход только с определенных IP через фаервол или /etc/hosts.allow.

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Очень опасная уязвимость в OpenSSH.», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.