Новости
FirstDedic

1 июля эксперты из компании Qualys сообщили о критической уязвимости в OpenSSH, которая даёт возможность удалённо выполнять код с привилегиями суперпользователя на системах с Glibc без аутентификации. Уязвимость называется regreSSHion. Она проявляется на системах с OpenSSH 8.5 и Glibc. Используя защиту ASLR, эксперты компании продемонстрировали атаку на 32-разрядной системе с Glibc. Не исключается возможность совершения атаки и на 64-разрядные системы, но рабочий эксплоит для таких систем пока не готов.

Проблема появилась в результате регрессивного изменения, вошедшего в состав выпуска OpenSSH 8.5 и приводящего к состоянию гонки в коде обработки сигналов в sshd. OpenBSD и системы с Musl не подвержены уязвимости. Несмотря на то, что рабочий эксплоит не опубликован, доступно подробное описание проблемы, что может спровоцировать появление других эксплоитов.

Уязвимость была устранена в выпуске OpenSSH 9.8. Мы также добавили патчи в репозитории и рекомендуем обновить систему для обеспечения безопасности. 

Если остались вопросы — обратитесь в нашу службу поддержки.