MoneyMaker - здесь делают деньги! MoneyMaker - здесь делают деньги!

Форум Darkmoney Форум Дубликат
Дроп-сервис
probivbiz
Курсы по анонимности и безопасности Чат Манимейкера
Благотворительный фонд
Гарант-сервис, безопасные покупки


Вернуться   MoneyMaker - здесь делают деньги! > Информационный раздел > Новости из СМИ


Новости из СМИ Новости из средств массовой информации, связанные с тематикой форума MoneyMaker.

garant
Ответ
 
LinkBack Опции темы Опции просмотра
Старый 17.10.2018, 14:35   #1
Проверенный продавец
Журналист
 
Аватар для Khan
 
Регистрация: 19.07.2017
Адрес: Город грехов
Сообщений: 812
Депозит: 5000 р.
Сделок через ГАРАНТ: 0
Покупок через ГАРАНТ: 0
Post Уязвимость в Libssh позволяет без пароля перехватить контроль над сервером

Процесс эксплуатации проблемы "до смешного прост".


В библиотеке Libssh обнаружена уязвимость, позволяющая обойти механизм авторизации и получить полный контроль над сайтом или сервером без пароля. Проблема (CVE-2018-10933) вызвана логической ошибкой, появившейся в версии Libssh 0.6, выпущенной в 2014 году. Как отмечается, процесс ее эксплуатации "до смешного прост".

Атакующему потребуется всего лишь отправить сообщение "SSH2_MSG_USERAUTH_SUCCESS" на сервер с активным подключением по SSH в момент ожидания сообщения "SSH2_MSG_USERAUTH_REQUEST".

Проблема заключается в том, что Libssh не проверяет подлинность пакетов, а также не проводит проверку на предмет, завершен процесс аутентификации или нет. Таким образом при получении сообщения "SSH2_MSG_USERAUTH_SUCCESS" библиотека считает аутентификацию успешной и предоставляет злоумышленнику доступ к серверу без необходимости ввода пароля.

Согласно результатам поиска Shodan, уязвимость может затрагивать порядка 6,5 тыс. доступных в интернете серверов. По словам представителей GitHub – одного из крупнейших ресурсов, поддерживающих данную библиотеку, уязвимость не затрагивает реализацию Libssh на официальном сайте и GitHub Enterprise в связи с применением альтернативного метода авторизации для корпоративных пользователей.

Команда Libssh уже устранила проблему с выпуском обновленных версий libssh 0.8.4 и 0.7.6. О случаях эксплуатации уязвимости в настоящее время неизвестно.

Подробнее: [Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
[Ссылки могут видеть только зарегистрированные пользователи. ]

«KHAN Service» - Идентификация и готовые кошельки / Карты / Комплексный пробив по государственным базам и мобильным операторам / Дизайнерские услуги
Khan вне форума   Ответить с цитированием
Ответ

Метки
обход авторизации, libssh, уязвимость

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 11:31. Часовой пояс GMT.

Bes73 Bes73
garant
garant

Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, vBulletin Solutions, Inc. Перевод:
Search Engine Optimization by vBSEOzCarot
MoneyMaker.hk