The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux

19.09.2008 22:07

"New openssh packages fix denial of service" - DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux. Используя проблему в обработчике сигналов openssh, удаленный злоумышленник может вызвать блокировку SSH доступа, наводнив систему зомби-процессами sshd.

  1. Главная ссылка к новости (http://lists.debian.org/debian...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/18002-ssh
Ключевые слова: ssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:33, 19/09/2008 [ответить]  
  • +/
    Дебиян на воде работает? Может быть наплодит, а не наводнит?
     
  • 1.2, inste (?), 23:21, 19/09/2008 [ответить]  
  • +/
    Что-то в последнее время OpenSSH прорвало на дыры. :(
    Эта уязвимость актуальна только для Debian?
     
     
  • 2.3, prapor (??), 00:45, 20/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Что-то в последнее время OpenSSH прорвало на дыры. :(
    >Эта уязвимость актуальна только для Debian?

    По ссылке:
    Debian-specific: no

     
     
  • 3.4, csdoc (ok), 21:13, 20/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    судя по всему, эта уязвимость есть только в Debian'е и OpenBSD.
    по крайней мере, ее не было и нет в CentOS и RHEL.

    Vulnerability Summary for CVE-2008-4109

    A certain Debian patch for OpenSSH before 4.3p2-9etch3 on etch,
    and before 4.6p1-1 on sid and lenny, uses functions that are
    not async-signal-safe in the signal handler for login timeouts,
    which allows remote attackers to cause a denial of service
    (connection slot exhaustion) via multiple login attempts.
    NOTE: this issue exists because of an incorrect fix for CVE-2006-5051.

    Official Statement from Red Hat
    Not vulnerable. The patch used to fix CVE-2006-5051
    in Red Hat Enterprise Linux 2.1, 3, 4, and 5
    was complete and does not suffer from this problem.

     
     
  • 4.5, User294 (ok), 23:41, 20/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >судя по всему, эта уязвимость есть только в Debian'е и OpenBSD.

    Как-то подозрительно и неубедительно это звучит.

     
     
  • 5.6, csdoc (ok), 23:53, 20/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>судя по всему, эта уязвимость есть только в Debian'е и OpenBSD.
    >
    >Как-то подозрительно и неубедительно это звучит.

    согласен. я убедился только, что нет уязвимости в CentOS и RHEL,
    и дальше не стал искать. а источник информации у меня был один:

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4109

    уязвимы ли какие-то другие системы кроме Debian и OpenBSD -
    (например, Ubuntu) - я и сам в этом не убедился на все 100%.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру