- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
14.01.2016 г. была обнаружена опасная уязвимость в пакете OpenSSH. Злоумышленники могут использовать ее с целью кражи вашего приватного ключа.
Если на вашем сервере установлена ОС Debian версии 7 или 8 и подключены обновления безопасности из репозитория security.debian.org, то вы можете просто обновить пакеты до последней версии (в которой исправлена эта уязвимость) выполнив две команды:
apt-get update
apt-get install openssh-server openssh-client
Более подробная информация об обновлении для Debian доступна по ссылке: https://www.debian.org/security/2016/dsa-3446
Если вы используете более раннюю версию Debian или другую ОС, вам необходимо выполнить команду:
echo -e 'Host * \nUseRoaming no' >> /etc/ssh/ssh_config
Она добавит соответствующую строку в ssh_config и закроет возможность эксплуатации данной уязвимости.
Немного добавлю.
Проблема связана с работой появившейся в OpenSSH 5.4 недокументированной функции роуминга, предназначенной для возобновления оборванного SSH-соединения. Серверная реализация роуминга так и не была включена в состав OpenSSH, но код клиента был добавлен в экспериментальном режиме и был включен по умолчанию. Уязвимости подвержены все версии с OpenSSH 5.4 по 7.1, включительно.
У меня фольга на шапочке зашевелилась.
з.ы. Крупным сайтам и простым пользователям настоятельно рекомендуют сгенерировать новые SSH-ключи.
и
Это кто отвечает за релизы? Уволить? Расстрелять?
Это кто отвечает за релизы? Уволить? Расстрелять?
Сильно преувеличиваете опасность. Разработчики справедливо сосредоточены на безопасности кода сервера, а тут проблема касается поведения клиента , которым, по правде-то, вебмастеры и не пользуются почти никогда. Putty.exe - это вообще другой код.
Инцидент совсем не катастрофический. Обновили и забыли.
Сильно преувеличиваете опасность. Разработчики справедливо сосредоточены на безопасности кода сервера.
Инцидент совсем не катастрофический. Обновили и забыли.
Да про преувеличивание я читал, но по умолчанию врубать тестовую функцию. Так сказать тестировать на всех и сразу. И ещё не документировать это. Шикарно.
была обнаружена опасная уязвимость в пакете OpenSSH
Как бэ спасибо за инфу, но пруфы же, пруфы.
SeVlad, в первом посте есть пруф https://www.debian.org/security/2016/dsa-3446
з.ы. Крупным сайтам и простым пользователям настоятельно рекомендуют сгенерировать новые SSH-ключи.
А тем кто ключи никогда не юзает - можно спать спокойно?
foxi, сам никогда не пользовался ими. Вы натолкнули на другую мысль.
Может знающие люди подскажут, ниже команд достаточно, чтобы проверить отсутствие авторизаций по SSH?
# find / -name "*id_rsa*"
- пустой ответ
# find / -name "*authorized_keys*"
- возвращает 1 файл мануала
в первом посте есть пруф https://www.debian.org/security/2016/dsa-3446
В старпосте написано, что это
информация об обновлении для Debian
А это, согласись, совсем не
информация об уязвимости в OpenSSH
Но спс. А ТСу надо было просто написать что там есть инфа и о самой уязвимости.