Разработчики исправили серьезную уязвимость в OpenSSH

Олег Иванов 14 Ноября 2017 - 12:20

...

Разработчики исправили серьезную уязвимость в OpenSSH

Уязвимость OpenSSH была обнаружена экспертом Михал Залевски (Michal Zalewski) в файле-исходнике sftp-server.c, она затрагивает версии OpenSSH с 5.5 по 7.6.

Как можно видеть в коде, приведенном ниже, если SFTP-сервер стартует с параметром –R, он будет включать переменную «readonly». Это означает, что клиентам не разрешено записывать операции.

int
sftp_server_main(int argc, char **argv, struct passwd *user_pw)
{
   ...
    while (!skipargs && (ch = getopt(argc, argv,
        "d:f:l:P:p:Q:u:cehR")) != -1) {
        switch (ch) {
    ...
        case 'R':
            readonly = 1;
            break;
    ...
}

Открытие файла для SFTP-сервера выполняется с помощью вспомогательной функции process_open(), которая открывает доступные только для чтения файлы:

static void
process_open(u_int32_t id)
{
    ...
    if (readonly &&
        ((flags & O_ACCMODE) == O_WRONLY ||
        (flags & O_ACCMODE) == O_RDWR) != 0)) {
        verbose("Refusing open request in read-only mode");
        status = SSH2_FX_PERMISSION_DENIED;
    } else {
        fd = open(name, flags, mode);
    ...
}

Здесь можно увидеть, что если «readonly» активирован, будет осуществляться проверка наличия «WRITE ONLY» или «READ/WRITE». Если это условие удовлетворено, будет выведена ошибка открытия файла в режиме read-only.

В противном случае файл будет открыт с использованием системного вызова open(). Залевски использовал эти параметры для создания произвольных read-only-файлов на SFTP-сервере. Чтобы исправить эту брешь, только для чтения. Чтобы исправить это, разработчики.

Код патча можно увидеть ниже:

if (readonly &&
-       ((flags & O_ACCMODE) == O_WRONLY ||
-       (flags & O_ACCMODE) == O_RDWR)) {
+       ((flags & O_ACCMODE) != O_RDONLY ||
+       (flags & (O_CREAT|O_TRUNC)) != 0)) {
        verbose("Refusing open request in read-only mode");

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Марта 2026 - 09:07

Сетевые черви Атаки на сайты Домашние пользователи

Википедию атаковал портящий страницы JavaScript-червь

У Wikimedia Foundation 5 марта случился неприятный киберинцидент: по проектам прошёлся самораспространяющийся JavaScript-червь, из-за которого инженерам пришлось временно ограничить редактирование и срочно откатывать вредоносные правки. Важная оговорка: по уточнению фонда, вандализм затронул только Meta-Wiki, а не всю Википедию целиком.

Снаружи это выглядело довольно хаотично: редакторы начали замечать автоматические правки, скрытые скрипты и странные изменения на страницах, после чего Wikimedia перевела проекты в режим «только чтение».

Согласно странице фонда, проблемы начались около 18:36 по Москве, в 20:09 вики вернули в режим записи, а позже начали постепенно восстанавливать и пользовательские скрипты.

По предварительной картине, всё началось после срабатывания вредоносного скрипта, который хранился в русской версии Википедии на странице User:Ololoshka562/test.js и, как пишет BleepingComputer, был загружен ещё в марте 2024 года.

В Phabricator и в публикации BleepingComputer говорится, что скрипт, вероятно, активировали во время проверки пользовательского кода: после запуска он пытался прописать вредоносный загрузчик и в пользовательский common.js, и в глобальный MediaWiki:Common.js, чтобы цепочка распространялась дальше уже сама.

Если по-простому, схема была такой: один заражённый скрипт подхватывался в браузере редактора, а дальше пытался переписать JS-настройки этого пользователя и общий скрипт сайта (при наличии нужных прав). После этого любой, кто открывал такой общий скрипт, рисковал снова запустить ту же цепочку.

Параллельно червь ещё и правил случайные страницы, добавляя туда скрытый загрузчик. По оценке BleepingComputer, изменены были примерно 3996 страниц, а у около 85 пользователей оказались подменены файлы common.js, но это именно оценка издания, а не официальный итог Wikimedia.

Сама Wikimedia Foundation после инцидента заявила, что вредоносный код оставался активным 23 минуты. За это время он успел менять и удалять контент на Meta-Wiki, но постоянного ущерба, по словам фонда, не нанёс: материалы восстанавливают, признаков атаки именно на Википедию нет, как и доказательств утечки персональных данных.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!