OpenForum RSS: Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода https://www.opennet.me/openforum/vsluhforumID3/134233.html В процессе изучения выявленной на прошлой неделе критической уязвимости в OpenSSH, обнаружена ещё одна похожая уязвимость (CVE-2024-6409), позволяющая добиться удалённого выполнения кода без прохождения аутентификации. Новая уязвимость не столь опасна как прошлая, так как проявляется после сброса привилегий в запущенном SSH-сервером дочернем процессе. Уязвимость присутствует в пакетах openssh из дистрибутива Red Hat Enterprise Linux 9, основанных на опубликованном в 2021 году выпуске OpenSSH 8.7. Проблема также затрагивает пакеты для Fedora Linux 36 и 37, основанные на выпусках OpenSSH 8.7 и 8.8...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61509<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (Big Robert TheTables) https://www.opennet.me/openforum/vsluhforumID3/134233.html#168 Fri, 06 Dec 2024 16:44:33 GMT &gt; Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя <br>&gt; про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average <br>&gt; to win the race condition, and ~6-8 hours to obtain a <br>&gt; remote root shell (because of ASLR)." Что за "фуфел про опенссл" <br>&gt; я не понял, OpenSSL там не упомянут.<br><br>и все-таки, давайте попробуем осуществить этот код с максимальной поддержкой от уязвимого софта. Где, каким образом мы добъемся выполнением кода из пакета, что "формируется хакером"?<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (n00by) https://www.opennet.me/openforum/vsluhforumID3/134233.html#167 Mon, 12 Aug 2024 15:37:17 GMT &gt;&gt; Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты <br>&gt;&gt; же взялся доказывать, что их нет. Но учти, что могут и <br>&gt;&gt; надуть.<br>&gt; фиксируем: эксплойтов нет<br><br>Бремя доказательства утверждения "эксплоитов нет" лежит на заявителе, то есть на тебе.<br><br>&gt; пылкие юноши уже теряют уверенность в собственной квалификации. <br><br>Согласен, потому "они" и заговорили о себе во множественном числе ("фиксируем").<br><br>У тебя стандартный набор эксперта: примитивная демагогия и проекции. Ничего нового, дальше ты мне не интересен.<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (Big Robert TheTables) https://www.opennet.me/openforum/vsluhforumID3/134233.html#166 Mon, 12 Aug 2024 11:51:35 GMT &gt; Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты <br>&gt; же взялся доказывать, что их нет. Но учти, что могут и <br>&gt; надуть.<br><br>фиксируем: эксплойтов нет, пылкие юноши уже теряют уверенность в собственной квалификации.<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (n00by) https://www.opennet.me/openforum/vsluhforumID3/134233.html#165 Mon, 12 Aug 2024 10:55:03 GMT Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты же взялся доказывать, что их нет. Но учти, что могут и надуть.<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (Big Robert TheTables) https://www.opennet.me/openforum/vsluhforumID3/134233.html#164 Mon, 12 Aug 2024 08:26:28 GMT появились эксплойты, не?<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (n00by) https://www.opennet.me/openforum/vsluhforumID3/134233.html#163 Tue, 16 Jul 2024 02:44:50 GMT &gt; К чему не готов?<br><br>Я понимаю, что моё сообщение #127 было слишком давно для некоторых, потому сохранил вопрос со словом "готов" и в #147. Если ты теряешь контекст и не способен прочесть сообщение, на которое отвечаешь, забудь про вопросы безопасности.<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (Big Robert TheTables) https://www.opennet.me/openforum/vsluhforumID3/134233.html#161 Mon, 15 Jul 2024 10:20:12 GMT К чему не готов?<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/134233.html#160 Thu, 11 Jul 2024 15:07:52 GMT А, если это молоток с кривой ручкой) и притом все окружающие утверждают ведь что оня прямее всех прямых!...<br><br>&gt; Угадайте, на каком языке он написан<br><br>Чего копаться с сортах дерьма гадая?!... <br>Ну вот я про один из - только что написал своё видение(в "Критическая уязвимость в GitLab"):<br>&gt; "Gitlab - новый sendmail" - причем на безопасном руби <br><br>И на безопасном линукс, молодцы!<br>А, чтобы не было никаких уязвимостей в ч.н.в гите* - отменить пароли, <br>вот я например сижу даже в линуксе не только без антивируса а и даже рутового пароля - неверится? Только что расписал тут:<br>- https://www.opennet.me/opennews/art.shtml?num=61517#25<br> Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа... (нах.) https://www.opennet.me/openforum/vsluhforumID3/134233.html#159 Thu, 11 Jul 2024 04:58:07 GMT &gt; Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на <br>&gt; компе стоит, да? Хорошо если в помянутом доскере, а то ведь <br>&gt; и вовсе...<br><br>А в чем разница? Они ж доскер собирают FROM srach и COPY all.tar / в который умелец смахнул все крошки со своего рабочего стола, упаковав туда примерно весь свой WSL. Некогда разбираться что из этого нужное а что нет, спринт не ждет!<br><br>(в свое время из дыркера онлиофиса я выкинул примерно половину содержимого. Это не фром srach, это они честно старались пакетами ставить. Без малейшего похоже понятия, что в этих пакетах и зачем - "так у (с придыханием) РАЗРАБОТЧИКОВ!")<br><br>