Разработчики OpenSSH исправили серьезную уязвимость, которая могла позволить удаленное выполнение кода с привилегиями root в Linux-системах, использующих glibc. Эксперты из компании Qualys обнаружили эту проблему.
Уязвимость с идентификатором CVE-2024-6387, отнесенная к типу Race Condition, была найдена в серверной части OpenSSH (sshd), отвечающей за прослушивание соединений от клиентских приложений.
OpenSSH представляет собой набор инструментов для безопасного удаленного доступа через протокол SSH. Он встроен в большинство дистрибутивов Linux, использующих glibc, за исключением Alpine Linux, который использует libc. Системы BSD не подвержены этой уязвимости. Влияние на macOS и Windows пока неясно.
Компания Qualys обнаружила более 14 миллионов потенциально уязвимых серверов OpenSSH, доступных из Интернета. Уязвимость, получившая имя "regreSSHion", является возвратом ранее исправленной проблемы, существовавшей 18 лет (CVE-2006-5051).
Эксплуатация уязвимости успешно продемонстрирована на 32-битных системах Linux/glibc с ASLR. В лабораторных условиях для атаки требуется примерно от 6 до 8 часов непрерывной работы для достижения максимальной загрузки сервера.
Уязвимость с идентификатором CVE-2024-6387, отнесенная к типу Race Condition, была найдена в серверной части OpenSSH (sshd), отвечающей за прослушивание соединений от клиентских приложений.
OpenSSH представляет собой набор инструментов для безопасного удаленного доступа через протокол SSH. Он встроен в большинство дистрибутивов Linux, использующих glibc, за исключением Alpine Linux, который использует libc. Системы BSD не подвержены этой уязвимости. Влияние на macOS и Windows пока неясно.
Компания Qualys обнаружила более 14 миллионов потенциально уязвимых серверов OpenSSH, доступных из Интернета. Уязвимость, получившая имя "regreSSHion", является возвратом ранее исправленной проблемы, существовавшей 18 лет (CVE-2006-5051).
Эксплуатация уязвимости успешно продемонстрирована на 32-битных системах Linux/glibc с ASLR. В лабораторных условиях для атаки требуется примерно от 6 до 8 часов непрерывной работы для достижения максимальной загрузки сервера.
