Sekurak Cyberstarter 2025 już 15 maja! 6 ścieżek, 40+ prelekcji

Tag: ssh

Krytyczna luka w implementacji SSH Erlanga – CVSS 10.0 – nieuwierzytelnione wykonanie kodu oraz AI, które pisze PoC-a

25 kwietnia 2025, 01:54 | W biegu | komentarze 3
Krytyczna luka w implementacji SSH Erlanga – CVSS 10.0 – nieuwierzytelnione wykonanie kodu oraz AI, które pisze PoC-a

Na wstępie uspokajamy, luka w żadnym wypadku nie dotyka OpenSSH (ani innych popularnych implementacji) czy protokołu SSH jako takiego. Problem wystąpił tylko w zestawie bibliotek Erlang/OTP, które implementują protokół SSH. Podatność otrzymała 10.0 punktów w skali CVSS v3, ponieważ umożliwia nieuwierzytelnionemu atakującemu na wykonanie kodu, na zdalnym systemie z uprawnieniami…

Czytaj dalej »

Podatności MITM i DoS w kliencie OpenSSH

20 lutego 2025, 16:04 | W biegu | 0 komentarzy
Podatności MITM i DoS w kliencie OpenSSH

OpenSSH to jedno z tych narzędzi, bez którego życie administratorów i pentesterów byłoby ciężkie. Stanowi jeden z kluczowych elementów bezpiecznej konfiguracji hostów, oferując nie tylko szyfrowane połączenie ze zdalnym systemem, ale także pozwalając na skorzystanie z bardziej zaawansowanych funkcji jak forwardowanie portów czy X-ów (środowiska graficznego). Dlatego każda podatność wzbudza…

Czytaj dalej »

Poważna luka w Kubernetes Image Builder – pozwala na nieautoryzowany dostęp po SSH do maszyn wirtualnych

21 października 2024, 23:14 | W biegu | komentarze 3
Poważna luka w Kubernetes Image Builder – pozwala na nieautoryzowany dostęp po SSH do maszyn wirtualnych

Kubernetes to bardzo rozbudowane oprogramowanie do zarządzania i skalowania skonteneryzowanego środowiska. Szeroka funkcjonalność oferowana jest przez wiele modułów, a jednym z nich jest Image Builder, który pozwala na tworzenie obrazów maszyn wirtualnych, które następnie uruchamiane są np. za pomocą Proxmox czy QEMU. Na etapie tworzenia obrazu maszyny wirtualnej wykorzystywane są…

Czytaj dalej »

Krytyczna podatność w kliencie OpenSSH

14 stycznia 2016, 21:59 | W biegu | 0 komentarzy

Team OpenSSH raportuje o dość istotnej podatności, umożliwiającej odpowiednio spreparowanym serwerom na odczytanie fragmentów pamięci z komputera klienta (np. kluczy prywatnych). Podatność występuje w eksperymentalnej funkcjonalności (ale włączonej domyślnie) w klientach OpenSSH od wersji 5.4 po 7.1 Zaleca się oczywiście załatanie swoich klientów, jako tymczasowe ss pomoże też ustawienie: UseRoaming no w…

Czytaj dalej »

Diffie-Hellman fail – NSA łamie 2/3 globalnego ruchu VPN i 1/4 połączeń SSH?

15 października 2015, 23:30 | W biegu | komentarzy 14

Algorytm Diffie-Hellman key exchange – to jeden z głównych asymetrycznych algorytmów kryptograficznych wykorzystywanych choćby w HTTPS, IPsec, czy SSH. W skrócie, algorytm umożliwia dwóm stronom komunikacji na uzgodnienie bezpiecznego klucza sesji (symetrycznego) i szyfrowanie dalej tym kluczem. Niedawno okazało się, że sam algorytm (czy raczej popularny sposób jego implementacji w…

Czytaj dalej »

Quick tip – logowanie się przez ssh skrótem klawiaturowym

02 kwietnia 2015, 12:35 | Teksty | komentarzy 17
Quick tip – logowanie się przez ssh skrótem klawiaturowym

Od czasu do czasu potrzebuję szybko zaglądnąć do logów serwera; sama procedura zazwyczaj chwilę zajmuje (otworzenie putty, wybranie sesji, wklepanie hasła, zobaczenie do logów). Jeśli jest ona powtarzana parę razy dziennie – to już wymierna strata czasu. Jak uprościć całość aby logi zobaczyć poprzez naciśnięcie jednego skrótu klawiszowego?

Czytaj dalej »

Kippo – czyli honeypot ssh

13 czerwca 2014, 18:12 | Teksty | komentarze 22
Kippo – czyli honeypot ssh

Kippo jest narzędziem typu honeypot napisanym w Pythonie emulującym połączenie usługą SSH. Po udanej próbie logowania do serwera, atakujący otrzymuje wrażenie pełnej interakcji z konsolą atakowanej maszyny. Kippo od tego momentu loguje nawiązanie połączenia SSH oraz pełną interakcję atakującego z systemem.

Czytaj dalej »