Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Adminie… Czy znamy Twoje grzechy? ;-) Sprawdź!
Właśnie załatano grubą podatność w domyślniej konfiguracji OpenSSH. Ale nie ma paniki (podatna konkretna wersja, eksploitacja co najmniej bardzo trudna)
Jak czytamy:
Changes since OpenSSH 9.1 fix a pre-authentication double-free memory fault introduced in OpenSSH 9.1. This is not believed to be exploitable, and it occurs in the unprivileged pre-auth process that is subject to chroot(2) and is further sandboxed on most major platforms.
Nieco więcej o problemie pisze Qualys:
On February 2, 2023, OpenSSH version 9.2 was released: it fixes a pre-authentication vulnerability (a double free) in the OpenSSH server version 9.1 (only this specific version, which was released in October 2022). Affected users are urged to upgrade, as this vulnerability can be triggered in the default configuration of the OpenSSH server (sshd). (…) Exploiting this vulnerability will not be easy: modern memory allocators provide protections against double frees, and the impacted sshd process is unprivileged and heavily sandboxed.
No więc wszystko OK? W zasadzie tak, ale:
- Dla pewności warto jednak sprawdzić czy nie posiadamy podatnej wersji OpenSSH 9.1 – jeśli komuś udałoby się jednak przygotować exploita – da on wykonanie poleceń na maszynie-celu i to bez konieczności posiadania danych logowania.
- Warto pamiętać, że nawet tak “wygrzane” i dbające o bezpieczeństwo projekty jak OpenSSH mogą znienacka wprowadzić podatność – przy okazji dostarczania nowych funkcji.
~ms
Jakoś mnie to nie uspokaja. To raczej tylko kwestia czasu. Podatność istniała 4 miesiące.
Dlatego najlepiej trzymac SSH na jakims egzotycznym porcie, a do tego wpuszczac tylko zdefiniowane na FW adresy IP
Najlepiej jedno i drugie poprzez vpn z mfa :D
I jeszcze port knock!
Najlepiej moim zdaniem wystawiać tylko port dla wireguarda i najpierw wbijać się po WG a dopiero potem na ssh.
A jak WG padnie albo jak w miejscu z ktorego sie laczysz egzotyczny port WG jest wyciety, a na 443 masz juz inna usluge?
Ło jejku, ale mój system zacofany – jest już v.9.2, a ja mam v.8.4 ;)
A może to i dobrze…