ИБ-специалисты обнаружили и устранили критическую уязвимость библиотеки libssh

Питер Винтер-Смит (Peter Winter-Smith) из NCC Group обнаружил уязвимость библиотеки libssh, с помощью которой можно обойти авторизацию на сервер. Брешь обнаружили в версиях 0.6 и выше. Проблему решили выпуском обновлений 0.8.4 и 0.7.6 16 октября 2018 года.

Смешная уязвимость

Специалисты Bleeping Computer назвали уязвимость до невозможности смешной. Атакующему достаточно отправить серверу сообщение SSH2_MSG_USERAUTH_SUCCESS, вместо ожидаемого SSH2_MSG_USERAUTH_REQUEST. В этом случае не требуется вводить какие-либо данные.

Серверы под угрозой

Амит Серпер (Amit Serper) из Cybereason проверил подверженные угрозе компьютеры при помощи Shodan. По его словам, примерно на 3 тысячах компьютеров используется libssh. При этом на некоторых установлены старые версии библиотеки, и они уязвимы для старых багов.

GitHub рассказала об использовании модифицированной версии libssh, ввиду чего угроза ей не страшна.

Несмотря на быстрое устранение уязвимости в библиотеке libssh, разработчики компаний оперативно закрывают не все бреши. В сентябре 2018 года специалисты Trend Micro Zero Day Initiative рассказали об уязвимости в составе СУБД Microsoft Jet Database Engine. Она затрагивала все актуальные версии ОС Windows. Проблему решили за счёт неофициального патча, а затем, в рамках «вторника обновлений», выпустили и официальный. Но специалисты Acros Security утверждают, что его эффективность не слишком высока.

Источник: tproger.ru

Поделиться с друзьями:
Андройд IT
Добавить комментарий