Библиотека Интернет Индустрии I2R.ru |
|||
|
Обнаружена лазейка в OpenSSH01.07.2002 06:26 В популярной open-source программе шифрования электронных коммуникаций обнаружен серьезный дефект, который позволяет хакерам пробираться на серверы. Программа Open Secure Shell (OpenSSH) входит в состав многочисленных популярных дистрибутивов операционной системы Unix с открытым исходным кодом, таких как OpenBSD 3.0, OpenBSD 3.1 и FreeBSD-Current. Эти ОС широко используются в сетевом оборудовании, системах защиты и других приложениях. По словам Гранта Слендера (Grant Slender), главного консультанта по региону Азии и Австралии секьюрити-фирмы Internet Security Systems, который первым обнаружил дефект, проблема касается версий ОС с 3.0 пo 3.2.3. Слендер пояснил, что ошибка связана с неаккуратной обработкой «переполнения буфера» в OpenSSH, когда в программу поступает сообщение гораздо большей длины, чем обычно. Хакеры используют подобные пробелы в защите, загружая в программу больше символов, чем она может принять, и помещая в конце этой посылки исполняемый код. В рекомендации Internet Security Systems говорится, что, воспользовавшись данной ошибкой, атакующий может прислать на сервер специально сформированное сообщение, дистанционно выводящее из строя демон OpenSSH. В результате хакер получает доступ к серверу на самом высоком уровне. «Демон OpenSSH работает с привилегией superuser, так что злоумышленники, воспользовавшись этой ошибкой, могут дистанционно получить доступ на правах суперюзера», — говорится в рекомендации. По словам Слендера, ISS предупредила главного разработчика OpenSSH, который подготовил патч. Компания рекомендует системным администраторам заблокировать неиспользуемые механизмы аутентификации OpenSSH. Проблему также можно решить, запретив в файле конфигурации демона OpenSSH параметр аутентификации challenge-response. Кроме того, Слендер рекомендует пользователям обновить ПО. Информация об уязвимости опубликована в списках рассылки, посвященных безопасности, таких как BugTraq и Debian. последние новости 15.09.2006 15:01 | Рейтинги лучших дизайнеров на Face Control...» 15.09.2006 12:55 | Forbes назвал лучшие AJAX-приложения для бизнеса...» 13.09.2006 17:47 | Adobe запускает еще один "социальный" сайт...» 13.09.2006 14:17 | Atlas распадается на компоненты...» 12.09.2006 19:54 | Социальная сеть: поиск предмета исследования...» 12.09.2006 18:48 | Бесплатный хостинг плюс приложение по созданию WEB-сайтов от Blockstar...» 12.09.2006 18:26 | Ежемесячно количество сайтов увеличивается на 4 миллиона...» 12.09.2006 18:20 | Google выпустила новый модуль для персонализированной домашней страницы...» 12.09.2006 17:57 | «Вебальта» представила «Оптимиста»...» 12.09.2006 17:26 | «Караван» получил собственную номерную емкость...» 12.09.2006 16:43 | Microsoft готовит инструментарий AJAX Atlas...» 10.09.2006 18:31 | Google и Microsoft борются за мировое господство...» 10.09.2006 17:02 | Проведение конкурсов на сайте...» 09.09.2006 19:57 | Microsoft выпускает бету инструмента web-дизайна...» 08.09.2006 20:23 | Internet Explorer сможет проверять "репутацию" веб-сайтов...» 08.09.2006 18:10 | «Война браузеров» вокруг JavaScript может расколоть Веб 2.0...» 08.09.2006 17:22 | Эксперты предрекают появление сетей блогов Рунете...» 08.09.2006 17:02 | Corel выпустил новый графический редактор...» 08.09.2006 14:59 | Corel - в каждый институт...» 08.09.2006 13:19 | Google запатентовала систему "учёта редакторского мнения"...» |
|
2000-2008 г. Все авторские права соблюдены. |
|