US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

Уязвимость в OpenSSH-клиенте всех версий (CVE-2016-0777, CVE-2016-0778)

Уязвимость в OpenSSH-клиенте всех версий (CVE-2016-0777, CVE-2016-0778)

Янв 16, 2016DmitryНовости

Совсем недавно, 14 января 2016 года, была опубликована информация о новой уязвимости в клиенте OpenSSH версий 5.4 и более свежих — фактически, проблеме подвержены все используемые в данный момент реализации OpenSSH. Обращаем внимание — речь идет о клиенте OpenSSH, а не серверной части.

Речь идет о двух обнаруженных ошибках. Одна из них (CVE-2016-0777) может быть использована для частичного или полного получения приватного ключа (ssh private key). Заметим, что эксплуатация уязвимости возможна в том случае, если предварительно злоумышленник получит доступ к какому-нибудь серверу жертвы и запустит там специально модифицированный SSH-сервер. Так как приватный ключ обычно генерируется один и затем используется системными администраторами для доступа к множеству серверов, потенциально последствия утечки ключа могут быть достаточно серьезными.

Утечка ключа возможна в том случае, если в SSH-клиенте активирована функция «роуминга» — восстановления оборванного соединения. Эта опция активна начиная в версиях OpenSSH 5.4-7.1. Обновленный релиз OpenSSH 7.1p2 устраняет уязвимость, так как данная опция выключена по-умолчанию.

Для того, чтобы не подвергать себя риску, обновите OpenSSH или откройте файл конфигурации клиента (для Linux, FreeBSD, MacOS это обычно /etc/ssh/ssh_config) и укажите в разделе Host * опцию UseRoaming no

1
2
Host *
   UseRoaming no

Пользователи Putty могут не переживать — их SSH-клиент не подвержен уязвимости.

Вторая ошибка с идентификатором CVE-2016-0778 — это традиционное переполнение буфера. Есть множество условий для того, чтобы злоумышленник смог эсплуатировать эту уязвимость, поэтому применение ее маловероятно. Вместе с тем рекомендуем и настаиваем — обновите OpenSSH, это того стоит.

Подробный обзор уязвимостей есть на сайте Qualys.

Tags: openssh,  security
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Критическое обновление Vesta и новые уязвимости

  • Новая уязвимость в Vesta?

← PHP7 и Vesta — используем вместе
CVE-2016-0728 — серьезная уязвимость в ядре Linux 3.8+ →

Recent Posts

  • Support for our friends and colleagues in Ukraine
    Support for our friends and colleagues in Ukraine

    Dear friends and colleagues from Ukraine...

  • Новый датацентр — UA2.IEV: Kyiv, Ukraine!
    Новый датацентр — UA2.IEV: Kyiv, Ukraine!

    Мы продолжаем увеличивать количество наш...

  • CyberMonday — продолжаем марафон скидок!
    CyberMonday — продолжаем марафон скидок!

    Черная Пятница прошла, но не будем остан...

  • Black Friday 2021 — скидки до 50% на все SSD VDS!
    Black Friday 2021 — скидки до 50% на все SSD VDS!

    Черная Пятница официально началась! На п...

  • Sysadmin’s Day 2021 — скидки до 50% на заказ и продление SSD VDS!
    Sysadmin’s Day 2021 — скидки до 50% на заказ и продление SSD VDS!

    Давненько мы не раздавали скидки - поста...

  • Черная Пятница от ITLDC началась:  скидки до 70%!
    Черная Пятница от ITLDC началась: скидки до 70%!

    Несмотря на то, что традиционная Черная...

  • Представляем HD VDS — облачные VDS для хранения данных
    Представляем HD VDS — облачные VDS для хранения данных

    Мы подготовили специальную линейку вирту...

  • Секретная распродажа SSD VDS и серверов!
    Секретная распродажа SSD VDS и серверов!

    Скучаете по распродажам? Не обязательно...

EU Support

ITLDC EU Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

US/APAC Support

ITLDC NOAM Team

PO Box 800054
Aventura
FL, 33280
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.