Разработчики исправили серьезную уязвимость в OpenSSH

Олег Иванов 14 Ноября 2017 - 12:20

...

Разработчики исправили серьезную уязвимость в OpenSSH

Уязвимость OpenSSH была обнаружена экспертом Михал Залевски (Michal Zalewski) в файле-исходнике sftp-server.c, она затрагивает версии OpenSSH с 5.5 по 7.6.

Как можно видеть в коде, приведенном ниже, если SFTP-сервер стартует с параметром –R, он будет включать переменную «readonly». Это означает, что клиентам не разрешено записывать операции.

int
sftp_server_main(int argc, char **argv, struct passwd *user_pw)
{
   ...
    while (!skipargs && (ch = getopt(argc, argv,
        "d:f:l:P:p:Q:u:cehR")) != -1) {
        switch (ch) {
    ...
        case 'R':
            readonly = 1;
            break;
    ...
}

Открытие файла для SFTP-сервера выполняется с помощью вспомогательной функции process_open(), которая открывает доступные только для чтения файлы:

static void
process_open(u_int32_t id)
{
    ...
    if (readonly &&
        ((flags & O_ACCMODE) == O_WRONLY ||
        (flags & O_ACCMODE) == O_RDWR) != 0)) {
        verbose("Refusing open request in read-only mode");
        status = SSH2_FX_PERMISSION_DENIED;
    } else {
        fd = open(name, flags, mode);
    ...
}

Здесь можно увидеть, что если «readonly» активирован, будет осуществляться проверка наличия «WRITE ONLY» или «READ/WRITE». Если это условие удовлетворено, будет выведена ошибка открытия файла в режиме read-only.

В противном случае файл будет открыт с использованием системного вызова open(). Залевски использовал эти параметры для создания произвольных read-only-файлов на SFTP-сервере. Чтобы исправить эту брешь, только для чтения. Чтобы исправить это, разработчики.

Код патча можно увидеть ниже:

if (readonly &&
-       ((flags & O_ACCMODE) == O_WRONLY ||
-       (flags & O_ACCMODE) == O_RDWR)) {
+       ((flags & O_ACCMODE) != O_RDONLY ||
+       (flags & (O_CREAT|O_TRUNC)) != 0)) {
        verbose("Refusing open request in read-only mode");

Следующая главная новость »

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »

Яков Шпунт 24 Декабря 2025 - 09:29

Целевые атаки Таргетированные атаки Общее Инфосистемы Джет

Более 70% кибератак 2025 года связаны с уничтожением инфраструктуры

Стремление полностью вывести из строя ИТ-инфраструктуру стало характерной чертой 76% кибератак, зафиксированных в 2025 году. Злоумышленники преследовали цели как саботажа, так и вымогательства: суммы требований доходили до рекордных 500 млн рублей. Чаще всего атакующие прибегали к шифрованию данных (44% инцидентов) либо к их полному уничтожению (32%).

Атаки с разрушением инфраструктуры, как пишет «Коммерсантъ» со ссылкой на данные интегратора «Инфосистемы Джет», практически вытеснили демонстративные инциденты — DDoS-атаки, кражи данных и дефейсы сайтов.

Еще одной заметной тенденцией 2025 года стало объединение усилий нескольких группировок, а также активное использование искусственного интеллекта при подготовке и проведении атак.

«Это логичное развитие ситуации: у крупных компаний есть резервные копии, классический ransomware работает все хуже, а утечки информации обесценились — уже утекло почти все, и рынок перенасыщен. Угроза же полного уничтожения данных — это уже прямой риск для способности бизнеса продолжать существование», — прокомментировал тенденцию руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

В Лаборатории цифровой криминалистики F6 также зафиксировали рост атак с использованием шифровальщиков на 15%. Максимальные суммы выкупа достигли 500 млн рублей в рублевом эквиваленте (около 50 биткоинов на момент атаки), что вдвое превышает рекордные показатели 2024 года. Средний размер выкупа для крупных компаний составил от 4 млн до 40 млн рублей, для малого и среднего бизнеса — от 240 тыс. до 4 млн рублей.

Самым масштабным инцидентом, связанным с атакой на ИТ-инфраструктуру, стала атака на «Аэрофлот», произошедшая в июле. Ответственность за нее взяли группировки «Киберпартизаны BY» и Silent Crow. Недополученная выручка от отмены рейсов была оценена как минимум в 260 млн рублей.

Среди наиболее атакуемых отраслей «Инфосистемы Джет» выделяют финансовый сектор, ИТ и рынок недвижимости. Для взлома злоумышленники применяют в целом стандартные техники: фишинг, атаки через подрядчиков, эксплуатацию уязвимостей в веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабую «гигиену доступа». Дополнительно ситуацию усугубляет тот факт, что в 83% компаний административные интерфейсы остаются открытыми, а в 19% случаев используются учетные данные по умолчанию.

Как отметил в комментарии «Коммерсанту» руководитель департамента развития и архитектуры «Кросс Технолоджис» Евгений Балк, до 90% инцидентов так или иначе связаны с человеческим фактором. Специалисты нередко делают упор не на защищенность, а на максимальное удобство работы. По мнению генерального директора CICADA8 Алексея Кузнецова, дополнительной проблемой часто становятся сами заказчики, не готовые передавать управление безопасностью внешним подрядчикам.

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »