Разработчики исправили серьезную уязвимость в OpenSSH
Главная » Новости

Разработчики исправили серьезную уязвимость в OpenSSH

Олег Иванов 14 Ноября 2017 - 12:20
...
Разработчики исправили серьезную уязвимость в OpenSSH

Уязвимость OpenSSH была обнаружена экспертом Михал Залевски (Michal Zalewski) в файле-исходнике sftp-server.c, она затрагивает версии OpenSSH с 5.5 по 7.6.

Как можно видеть в коде, приведенном ниже, если SFTP-сервер стартует с параметром –R, он будет включать переменную «readonly». Это означает, что клиентам не разрешено записывать операции.

 

 

 

 

int
sftp_server_main(int argc, char **argv, struct passwd *user_pw)
{
   ...
    while (!skipargs && (ch = getopt(argc, argv,
        "d:f:l:P:p:Q:u:cehR")) != -1) {
        switch (ch) {
    ...
        case 'R':
            readonly = 1;
            break;
    ...
}

Открытие файла для SFTP-сервера выполняется с помощью вспомогательной функции process_open(), которая открывает доступные только для чтения файлы:

static void
process_open(u_int32_t id)
{
    ...
    if (readonly &&
        ((flags & O_ACCMODE) == O_WRONLY ||
        (flags & O_ACCMODE) == O_RDWR) != 0)) {
        verbose("Refusing open request in read-only mode");
        status = SSH2_FX_PERMISSION_DENIED;
    } else {
        fd = open(name, flags, mode);
    ...
}

Здесь можно увидеть, что если «readonly» активирован, будет осуществляться проверка наличия «WRITE ONLY» или «READ/WRITE». Если это условие удовлетворено, будет выведена ошибка открытия файла в режиме read-only.

В противном случае файл будет открыт с использованием системного вызова open(). Залевски использовал эти параметры для создания произвольных read-only-файлов на SFTP-сервере. Чтобы исправить эту брешь, только для чтения. Чтобы исправить это, разработчики.

Код патча можно увидеть ниже:

if (readonly &&
-       ((flags & O_ACCMODE) == O_WRONLY ||
-       (flags & O_ACCMODE) == O_RDWR)) {
+       ((flags & O_ACCMODE) != O_RDONLY ||
+       (flags & (O_CREAT|O_TRUNC)) != 0)) {
        verbose("Refusing open request in read-only mode");
Следующая главная новость »
AM LiveЗащита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Ущерб от отключений мобильной связи в Москве может достигать 5 млрд рублей
Яков Шпунт 11 Марта 2026 - 09:39
Соответствие законодательству РФ Общее
Ущерб от отключений мобильной связи в Москве может достигать 5 млрд рублей

За пять дней ущерб бизнеса от отключений мобильной связи в Москве, по оценке экспертов, составил 3–5 млрд рублей. Наибольшие трудности испытали малые и средние компании, у которых не было резервных каналов связи для работы терминалов оплаты.

Такие оценки привёл «Коммерсантъ» со ссылкой на источник в ИТ-отрасли. По его словам, расчёт основан на доле цифровых сервисов в валовом региональном продукте Москвы и масштабе самих ограничений.

Ограничения в работе мобильной связи и интернета продолжаются в Москве с 5 марта. Сначала они действовали в Южном округе, а затем сместились в центр города. Как отмечает «Коммерсантъ», это первый случай массовых ограничений в столице с мая 2025 года. Операторы объясняли недоступность сервисов «внешними ограничениями».

При этом в период ограничений были нарушены и сервисы, входящие в «белый список». Как заявили в ассоциации АПКИТ, объединяющей около 80 компаний, это создало серьёзные проблемы для бизнеса:

«В условиях регулярных отключений вопрос “белого списка” для бизнеса становится критическим. На наш взгляд, любой легально работающий российский сервис, оказывающий услуги населению, должен сохранять доступность. В противном случае это может привести к серьёзным перекосам конкуренции, когда несколько крупнейших сервисов смогут работать, а все остальные — нет».

Как подчеркнул партнёр практики «Цифровая трансформация» компании Strategy Partners Сергей Кудряшов, в основном пострадал малый и отчасти средний бизнес: «Крупные компании, уже сталкивавшиеся с ограничениями в регионах, успели внедрить резервные каналы связи и адаптировать процессы.

При этом до 50–70% интернет-трафика в России приходится на мобильные устройства, а среди наиболее пострадавших курьерские службы, такси, каршеринг и розничная торговля с мобильными POS-терминалами».

Директор по маркетингу и продукту сервиса «Чиббис» Александр Якимец также назвал одним из последствий отключений резкое снижение доли заказов с самовывозом. По его словам, она сократилась почти втрое — до 2% против обычных 5–6%.

В «Ростелекоме» изданию сообщили, что фиксируют резкий рост числа заявок на подключение фиксированного интернет-доступа.

AM LiveЗащита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!
Треть российских врачей дают пациентам личные контакты
Новость
Треть российских врачей дают пациентам личные контакты
Злоумышленники пытаются эксплуатировать тему уборки снега
Новость
Злоумышленники пытаются эксплуатировать тему уборки снега
В Intel TDX обнаружены уязвимости с риском утечки данных
Новость
В Intel TDX обнаружены уязвимости с риском утечки данных

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.