网站黄色在线观看视频,男人和女人操逼有免费的视频吗2018高清,91熟女丨老女人丨高潮丰满,丝袜高潮流白浆潮喷在线播放

中國站

中國站

國際版

聯(lián)系我們

400-002-9968

售前咨詢

售后服務

注冊 登錄

博客 > FreeBSD針對OpenSSH高危漏洞發(fā)布緊急補丁程序

FreeBSD針對OpenSSH高危漏洞發(fā)布緊急補丁程序

  • 標簽:
  • FreeBSD
  • OpenSSH
  • 高危漏洞
  • 漏洞補丁

瀏覽量:1776次評論:0次

作者:銳成網(wǎng)絡整理時間:2024-08-14 15:29:33

近日,F(xiàn)reeBSD 項目的維護者已發(fā)布針對OpenSSH高危漏洞的緊急補丁程序,以解決 OpenSSH 中的一個高危漏洞CVE-2024-7589,攻擊者可能會利用該漏洞以更高的權(quán)限遠程執(zhí)行任意代碼。且此漏洞影響所有受支持的FreeBSD版本,這對依賴FreeBSD系統(tǒng)的企業(yè)來說是一個重大的安全風險。

FreeBSD針對OpenSSH高危漏洞發(fā)布緊急補丁程序

OpenSSH高危漏洞

OpenSSH的漏洞被追蹤為 CVE-2024-7589,CVSS 得分為 7.4(最高分為 10.0),危險性很高,屬于高危漏洞。CVE-2024-7589,可允許遠程攻擊者在受影響的 FreeBSD 系統(tǒng)上獲得未經(jīng)授權(quán)的訪問權(quán)限并以提升的權(quán)限執(zhí)行任意代碼。

該問題源于 SSH 守護進程(sshd)中的一個競賽條件,特別是在處理用于阻止惡意 IP 的黑名單服務(blacklistd)中的異步信號時。

該漏洞可在 LoginGraceTime 窗口期間觸發(fā),這是 SSH 服務器等待用戶身份驗證的關鍵時期。問題的根源在于 sshd 中的信號處理器可能會調(diào)用一個非異步信號安全的日志記錄函數(shù)。

該漏洞源于在特定情況下觸發(fā)的競賽條件。當 LoginGraceTime 時間結(jié)束時,sshd(8) 中的信號處理程序會在進程的特權(quán)上下文中運行。由于該代碼以完全 root 權(quán)限運行且缺乏沙箱保護,因此很容易被利用。

因此,攻擊者可利用這一競賽條件,以 root 身份執(zhí)行未經(jīng)驗證的遠程代碼,從而危及整個系統(tǒng)。

CVE-2024-7589 被描述為上月初曝光的 regreSSHion(CVE-2024-6387)問題的 "另一個實例"。項目維護者說:“這個案例中的錯誤代碼來自 FreeBSD OpenSSH 中 blacklistd 的集成。”。

OpenSSH高危漏洞的影響

如果您正在運行任何啟用了OpenSSH 的 FreeBSD 版本,您的系統(tǒng)就會受到影響。該公告特別提到所有受支持的 FreeBSD 版本都會受到影響。這包括多個版本的穩(wěn)定版和發(fā)行版分支:

  • 14.1-STABLE
  • 14.1-RELEASE
  • 14.0-RELEASE
  • 13.3-STABLE
  • 13.3-RELEASE

鑒于此漏洞的嚴重性,管理員必須立即對其系統(tǒng)進行評估,并確定它們是否正在運行受影響的帶有 OpenSSH 的 FreeBSD 版本。

OpenSSH高危漏洞解決辦法

強烈建議 FreeBSD 用戶更新到支持的版本并重啟 sshd,以減少潛在威脅。

在無法更新 sshd(8) 的情況下,可以通過在 /etc/ssh/sshd_config 中將 LoginGraceTime 設置為 0 并重新啟動 sshd(8) 來解決競賽條件問題。雖然這一更改使守護進程容易受到拒絕服務的影響,但卻能防止遠程代碼執(zhí)行。

關于OpenSSH

OpenSSH(Open Secure Shell)是一套基于安全外殼(SSH)協(xié)議的安全網(wǎng)絡實用程序,對于在不安全的網(wǎng)絡上進行安全通信至關重要。它提供強大的加密功能,確保隱私和文件傳輸安全,是遠程服務器管理和安全數(shù)據(jù)通信的重要工具。

OpenSSH 以其廣泛的安全和身份驗證功能而著稱,支持各種加密技術(shù),是包括 macOS 和 Linux 在內(nèi)的多個類 Unix 系統(tǒng)的標準配置。

資料來源:thehackernews、vulcan

我的評論

還未登錄?點擊登錄

微信掃碼溝通
微信掃碼溝通

微信掃碼溝通

AI
return head