-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Właśnie załatano grubą podatność w domyślniej konfiguracji OpenSSH. Ale nie ma paniki (podatna konkretna wersja, eksploitacja co najmniej bardzo trudna)

02 lutego 2023, 18:57 | W biegu | komentarzy 7

Jak czytamy:

Changes since OpenSSH 9.1 fix a pre-authentication double-free memory fault introduced in OpenSSH 9.1. This is not believed to be exploitable, and it occurs in the unprivileged pre-auth process that is subject to chroot(2) and is further sandboxed on most major platforms.

Nieco więcej o problemie pisze Qualys:

On February 2, 2023, OpenSSH version 9.2 was released: it fixes a pre-authentication vulnerability (a double free) in the OpenSSH server version 9.1 (only this specific version, which was released in October 2022). Affected users are urged to upgrade, as this vulnerability can be triggered in the default configuration of the OpenSSH server (sshd). (…) Exploiting this vulnerability will not be easy: modern memory allocators provide protections against double frees, and the impacted sshd process is unprivileged and heavily sandboxed.

No więc wszystko OK? W zasadzie tak, ale:

  1. Dla pewności warto jednak sprawdzić czy nie posiadamy podatnej wersji OpenSSH 9.1 – jeśli komuś udałoby się jednak przygotować exploita – da on wykonanie poleceń na maszynie-celu i to bez konieczności posiadania danych logowania.
  2. Warto pamiętać, że nawet tak „wygrzane” i dbające o bezpieczeństwo projekty jak OpenSSH mogą znienacka wprowadzić podatność – przy okazji dostarczania nowych funkcji.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jacek

    Jakoś mnie to nie uspokaja. To raczej tylko kwestia czasu. Podatność istniała 4 miesiące.

    Odpowiedz
  2. dyrektor ds. bezpieczeństwa

    Dlatego najlepiej trzymac SSH na jakims egzotycznym porcie, a do tego wpuszczac tylko zdefiniowane na FW adresy IP

    Odpowiedz
    • m

      Najlepiej jedno i drugie poprzez vpn z mfa :D

      Odpowiedz
      • dyrektor ds. bezpieczeństwa

        I jeszcze port knock!

        Odpowiedz
  3. anżej

    Najlepiej moim zdaniem wystawiać tylko port dla wireguarda i najpierw wbijać się po WG a dopiero potem na ssh.

    Odpowiedz
    • dyrektor ds. bezpieczeństwa

      A jak WG padnie albo jak w miejscu z ktorego sie laczysz egzotyczny port WG jest wyciety, a na 443 masz juz inna usluge?

      Odpowiedz
  4. Jaco

    Ło jejku, ale mój system zacofany – jest już v.9.2, a ja mam v.8.4 ;)
    A może to i dobrze…

    Odpowiedz

Odpowiedz