Разработчики исправили серьезную уязвимость в OpenSSH

Олег Иванов 14 Ноября 2017 - 12:20

...

Разработчики исправили серьезную уязвимость в OpenSSH

Уязвимость OpenSSH была обнаружена экспертом Михал Залевски (Michal Zalewski) в файле-исходнике sftp-server.c, она затрагивает версии OpenSSH с 5.5 по 7.6.

Как можно видеть в коде, приведенном ниже, если SFTP-сервер стартует с параметром –R, он будет включать переменную «readonly». Это означает, что клиентам не разрешено записывать операции.

int
sftp_server_main(int argc, char **argv, struct passwd *user_pw)
{
   ...
    while (!skipargs && (ch = getopt(argc, argv,
        "d:f:l:P:p:Q:u:cehR")) != -1) {
        switch (ch) {
    ...
        case 'R':
            readonly = 1;
            break;
    ...
}

Открытие файла для SFTP-сервера выполняется с помощью вспомогательной функции process_open(), которая открывает доступные только для чтения файлы:

static void
process_open(u_int32_t id)
{
    ...
    if (readonly &&
        ((flags & O_ACCMODE) == O_WRONLY ||
        (flags & O_ACCMODE) == O_RDWR) != 0)) {
        verbose("Refusing open request in read-only mode");
        status = SSH2_FX_PERMISSION_DENIED;
    } else {
        fd = open(name, flags, mode);
    ...
}

Здесь можно увидеть, что если «readonly» активирован, будет осуществляться проверка наличия «WRITE ONLY» или «READ/WRITE». Если это условие удовлетворено, будет выведена ошибка открытия файла в режиме read-only.

В противном случае файл будет открыт с использованием системного вызова open(). Залевски использовал эти параметры для создания произвольных read-only-файлов на SFTP-сервере. Чтобы исправить эту брешь, только для чтения. Чтобы исправить это, разработчики.

Код патча можно увидеть ниже:

if (readonly &&
-       ((flags & O_ACCMODE) == O_WRONLY ||
-       (flags & O_ACCMODE) == O_RDWR)) {
+       ((flags & O_ACCMODE) != O_RDONLY ||
+       (flags & (O_CREAT|O_TRUNC)) != 0)) {
        verbose("Refusing open request in read-only mode");

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 10:24

Соответствие законодательству РФ Общее

Спрос на рекламу в Telegram снизился до 12%, но рынок не рухнул

Массового обрушения рынка рекламы в Telegram не произошло. Снижение спроса не превышает 12% и в основном затронуло сферы, где особенно важна визуальная составляющая: моду и стиль, кулинарию, интерьер и строительство. При этом эффективность рекламы, напротив, скорее выросла.

Такую оценку «Газете.Ru» дала руководитель отдела контентного продвижения и инфлюенс-маркетинга E-Promo Ксения Голубева.

Ключевым фактором стало разрешение размещать рекламу на платформе до конца года. При этом каналы активно перестраиваются: пересматривают частоту публикаций, формат контента и рекламные интеграции.

Ограничения слабо сказались и на активности авторов каналов:

«По данным WhoIsBlogger на конец марта, полностью прекратили публикации лишь около 2% каналов — это очень небольшая доля для такой чувствительной среды. Большинство авторов продолжает работать, пусть и более осторожно».

В марте объём публикуемого контента снизился по сравнению с февралем заметнее — более чем на 12%. Вместе с ним сократилась и рекламная активность. Однако к драматическим последствиям это не привело: по оценке Ксении Голубевой, каналы скорее оптимизируют частоту размещений и аккуратнее работают с рекламодателями.

Сильнее всего пострадали сегменты, где важен визуальный контент: мода, лайфстайл, интерьер, строительство и кулинария.

«Такие форматы сильнее зависят от стабильного трафика. При любом снижении охвата именно визуальный контент проседает быстрее. Мы уже видим, как часть рекламодателей и авторов в этих нишах переориентируются на более простые текстовые форматы, которые дешевле в производстве и устойчивее к колебаниям трафика», — рассказала Ксения Голубева.

При этом эффективность рекламы даже выросла за счёт снижения конкуренции. Кроме того, оставшиеся игроки получили более выгодные условия размещения.

В то же время несколько усложнился таргетинг. Причиной стало использование средств обхода блокировок, из-за чего снижается точность геотаргетинга по отдельным регионам и городам.

По мнению эксперта, дальше ситуация будет развиваться по сценарию, похожему на историю с Instagram (принадлежит признанной в России экстремистской и запрещённой корпорации Meta). Сокращение рекламы, вероятно, пройдёт в две волны: сначала уходят самые осторожные игроки, а следующая волна возможна позже, когда ограничения окончательно закрепятся и оставшиеся участники рынка пересоберут свои стратегии. Однако резкого падения не ожидается: скорее произойдёт перераспределение рынка между другими площадками.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!