Обнаружена уязвимость в OpenSSH 14.01.2016

DoomHell
На сайте с 12.03.2015
Offline
78
1541

14.01.2016 г. была обнаружена опасная уязвимость в пакете OpenSSH. Злоумышленники могут использовать ее с целью кражи вашего приватного ключа.

Если на вашем сервере установлена ОС Debian версии 7 или 8 и подключены обновления безопасности из репозитория security.debian.org, то вы можете просто обновить пакеты до последней версии (в которой исправлена эта уязвимость) выполнив две команды:

apt-get update

apt-get install openssh-server openssh-client

Более подробная информация об обновлении для Debian доступна по ссылке: https://www.debian.org/security/2016/dsa-3446

Если вы используете более раннюю версию Debian или другую ОС, вам необходимо выполнить команду:

echo -e 'Host * \nUseRoaming no' >> /etc/ssh/ssh_config

Она добавит соответствующую строку в ssh_config и закроет возможность эксплуатации данной уязвимости.

A
На сайте с 04.11.2007
Offline
129
#1

Немного добавлю.


Проблема связана с работой появившейся в OpenSSH 5.4 недокументированной функции роуминга, предназначенной для возобновления оборванного SSH-соединения. Серверная реализация роуминга так и не была включена в состав OpenSSH, но код клиента был добавлен в экспериментальном режиме и был включен по умолчанию. Уязвимости подвержены все версии с OpenSSH 5.4 по 7.1, включительно.

У меня фольга на шапочке зашевелилась.

з.ы. Крупным сайтам и простым пользователям настоятельно рекомендуют сгенерировать новые SSH-ключи.

LEOnidUKG
На сайте с 25.11.2006
Offline
1752
#2
недокументированной функции

и

и был включен по умолчанию

Это кто отвечает за релизы? Уволить? Расстрелять?

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
N
На сайте с 06.05.2007
Offline
419
#3
LEOnidUKG:
Это кто отвечает за релизы? Уволить? Расстрелять?

Сильно преувеличиваете опасность. Разработчики справедливо сосредоточены на безопасности кода сервера, а тут проблема касается поведения клиента , которым, по правде-то, вебмастеры и не пользуются почти никогда. Putty.exe - это вообще другой код.

Инцидент совсем не катастрофический. Обновили и забыли.

Кнопка вызова админа ()
LEOnidUKG
На сайте с 25.11.2006
Offline
1752
#4
netwind:
Сильно преувеличиваете опасность. Разработчики справедливо сосредоточены на безопасности кода сервера.
Инцидент совсем не катастрофический. Обновили и забыли.

Да про преувеличивание я читал, но по умолчанию врубать тестовую функцию. Так сказать тестировать на всех и сразу. И ещё не документировать это. Шикарно.

SeVlad
На сайте с 03.11.2008
Offline
1609
#5
DoomHell:
была обнаружена опасная уязвимость в пакете OpenSSH

Как бэ спасибо за инфу, но пруфы же, пруфы.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
sergv
На сайте с 13.04.2006
Offline
429
#6

SeVlad, в первом посте есть пруф https://www.debian.org/security/2016/dsa-3446

https://REGHOME.ru - регистрация и продление доменов от 169₽ в российских и международных зонах по честным ценам без звездочек. (R01, WebNames, UK2). Принимаем Ю-Money, Visa, MasterCard, Мир
Mik Foxi
На сайте с 02.03.2011
Offline
1130
#7
asteroid:

з.ы. Крупным сайтам и простым пользователям настоятельно рекомендуют сгенерировать новые SSH-ключи.

А тем кто ключи никогда не юзает - можно спать спокойно?

Универсальный антибот, антиспам, веб файрвол, защита от накрутки поведенческих № 1 в рунете: https://antibot.cloud/
A
На сайте с 04.11.2007
Offline
129
#8

foxi, сам никогда не пользовался ими. Вы натолкнули на другую мысль.

Может знающие люди подскажут, ниже команд достаточно, чтобы проверить отсутствие авторизаций по SSH?

# find / -name "*id_rsa*"

- пустой ответ

# find / -name "*authorized_keys*"

- возвращает 1 файл мануала

SeVlad
На сайте с 03.11.2008
Offline
1609
#9
sergv:
в первом посте есть пруф https://www.debian.org/security/2016/dsa-3446

В старпосте написано, что это

DoomHell:
информация об обновлении для Debian

А это, согласись, совсем не

информация об уязвимости в OpenSSH

Но спс. А ТСу надо было просто написать что там есть инфа и о самой уязвимости.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий