bencede
New member
OpenSSH şifre paketi ve araçları koleksiyonunun 9.3p2 sürümü bir güvenlik açığını kapatıyor. Federal Güvenlik Dairesi’nin (WID-BSI) bilgi teknolojisindeki (BSI) uyarı ve bilgilendirme hizmeti, bunları yüksek riskli olarak sınıflandırır.
Duyuru
Sorun, CVE-2016-10009 (CVSS) güvenlik açığı için yetersiz bir düzeltmeye dayanmaktadır. 7.3risk”yüksek“) OpenSSH 7.4’ün 2017’de düzeltmesi gerekiyordu. ssh-agent 9.3p2’den önceki OpenSSH’de güvenilmeyen bir arama yolu kullanılır ve bu, saldırganların kötü amaçlı kod enjekte etmesine ve yürütmesine izin verir. ssh-agent saldırgan tarafından kontrol edilen bir sisteme (CVE-2023-38408, WID-BSI’ya göre CVSS) iletilir 8.1risk”yüksek“).
OpenSSH Güvenlik Açığı – Oldukça riskli, ancak kötüye kullanım için belirli önkoşullar gerekiyor
Kötüye kullanım, bir kurbanın sisteminde bazı, ancak belirtilmemiş kitaplıkların bulunduğunu varsayar. OpenSSH geliştiricileri, sürüm duyurusunda güvenlik açığına uzaktan saldırmak için aracının saldırgan tarafından kontrol edilen bir sisteme yönlendirilmesi gerektiğini söylüyor.
Bir karşı önlem olarak, aynı zamanda ssh-agent boş bir PKCS#11/FIDO izin verilenler listesiyle başlayın, örneğin numara çevirerek ssh-agent -P '', veya yalnızca belirli sağlayıcı kitaplıklarını içeren bir izin verilenler listesi oluşturun.
Qualys BT güvenlik araştırmacıları, güvenlik açığının ayrıntılı bir analizini yayınladı. Kötüye kullanımı önlemek için OpenSSH geliştiricileri, uzak istemcilerin varsayılan olarak PKCS#11 modüllerini yüklemesini engelledi. Programı çağırırken belirli bir bayrakla (-Oallow-remote-pkcs11) ancak gerekirse işlev kullanılabilir.
Güncellenen yazılım, yöneticilerin onu kaynak olarak kullanmasına olanak tanır git indirin veya OpenSSH projesi taşınabilir sürüm web sitesinden. Çeşitli işletim sistemleri için orada mevcuttur. Linux dağıtımları, güncellemeleri yazılım yönetimi ile dağıtır. BT yöneticileri, sistemlerinde güncelleme olup olmadığını kontrol etmeli ve bunları hızlı bir şekilde uygulamalıdır.
Duyuru
Mart ayının sonunda OpenSSH geliştiricileri, yazılımın 9.3 sürümünü yayınladı. Zaten iki güvenlik açığını yamalamışlar ve diğer küçük hataları düzeltmişlerdi.
(dmk)
Haberin Sonu
Duyuru
Sorun, CVE-2016-10009 (CVSS) güvenlik açığı için yetersiz bir düzeltmeye dayanmaktadır. 7.3risk”yüksek“) OpenSSH 7.4’ün 2017’de düzeltmesi gerekiyordu. ssh-agent 9.3p2’den önceki OpenSSH’de güvenilmeyen bir arama yolu kullanılır ve bu, saldırganların kötü amaçlı kod enjekte etmesine ve yürütmesine izin verir. ssh-agent saldırgan tarafından kontrol edilen bir sisteme (CVE-2023-38408, WID-BSI’ya göre CVSS) iletilir 8.1risk”yüksek“).
OpenSSH Güvenlik Açığı – Oldukça riskli, ancak kötüye kullanım için belirli önkoşullar gerekiyor
Kötüye kullanım, bir kurbanın sisteminde bazı, ancak belirtilmemiş kitaplıkların bulunduğunu varsayar. OpenSSH geliştiricileri, sürüm duyurusunda güvenlik açığına uzaktan saldırmak için aracının saldırgan tarafından kontrol edilen bir sisteme yönlendirilmesi gerektiğini söylüyor.
Bir karşı önlem olarak, aynı zamanda ssh-agent boş bir PKCS#11/FIDO izin verilenler listesiyle başlayın, örneğin numara çevirerek ssh-agent -P '', veya yalnızca belirli sağlayıcı kitaplıklarını içeren bir izin verilenler listesi oluşturun.
Qualys BT güvenlik araştırmacıları, güvenlik açığının ayrıntılı bir analizini yayınladı. Kötüye kullanımı önlemek için OpenSSH geliştiricileri, uzak istemcilerin varsayılan olarak PKCS#11 modüllerini yüklemesini engelledi. Programı çağırırken belirli bir bayrakla (-Oallow-remote-pkcs11) ancak gerekirse işlev kullanılabilir.
Güncellenen yazılım, yöneticilerin onu kaynak olarak kullanmasına olanak tanır git indirin veya OpenSSH projesi taşınabilir sürüm web sitesinden. Çeşitli işletim sistemleri için orada mevcuttur. Linux dağıtımları, güncellemeleri yazılım yönetimi ile dağıtır. BT yöneticileri, sistemlerinde güncelleme olup olmadığını kontrol etmeli ve bunları hızlı bir şekilde uygulamalıdır.
Duyuru
Mart ayının sonunda OpenSSH geliştiricileri, yazılımın 9.3 sürümünü yayınladı. Zaten iki güvenlik açığını yamalamışlar ve diğer küçük hataları düzeltmişlerdi.
(dmk)
Haberin Sonu