OpenForum RSS: Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируемая на стадии до аутентификации https://www.opennet.ru/openforum/vsluhforumID3/139482.html В применяемом во многих дистрибутивах Linux патче gssapi.patch, добавляющем в OpenSSH поддержку обмена ключей на базе GSSAPI, выявлена уязвимость (CVE-2026-3497), приводящая к разыменованию указателя, повреждению памяти и обходу механизма разделения привилегий (Privsep). Уязвимость может быть эксплуатирована удалённо на стадии до осуществления аутентификации. Выявивший проблему исследователь продемонстрировал инициирование аварийного завершения процесса через отправку на SSH-сервер одного модифицированного сетевого пакета. Не исключается, что помимо отказа в обслуживании, существуют более опасные варианты эксплуатации уязвимости...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64983<br> Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#90 Mon, 16 Mar 2026 08:36:04 GMT &gt; Для почти всего придуманы механизмы смягчения или полной компенсации последствий.<br><br>Но некоторые предпочитают жить в безопасных комнатах с мягкими стенами, где даже покалечиться вот так сразу - хрен получится, и даже ложку вот так фиг кто просто так без присмотра даст. А уж болгарку там какую - даже и не мечтайте!<br> Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#88 Sun, 15 Mar 2026 10:44:00 GMT &gt;Они должны<br><br>Когда они задолжать успели?<br>Никто не будет править всякий спам, что присылают на мыло. Ни в OpenSSH, ни в педальном ведре лайнокса, ни еще где-то.<br> Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#87 Sun, 15 Mar 2026 10:39:18 GMT &gt;Это не нормально, когда в одном файле есть две функции с таким именем sshpkt_disconnect() и ssh_packet_disconnect(). Это верный путь к багам.<br><br>Не нормально - лезть потными копытцами в код, в котором не разбираешься, и не нормально - тянуть корявые патчи со свалки истории.<br> Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним83) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#86 Sun, 15 Mar 2026 00:07:17 GMT В отличии от мифических экспердов опеннета у Ивана свой домашний сервер онлайн уже 20 лет, из которых лет 15 там хостится то форум то фики, есть доступ по ссш, иногда по рдп и ещё всякие разные сетевые сервисы.<br>И чото то как то оно до сих пор не сломалось, хоть там и С, пхп и всякое разное.<br> Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним83) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#85 Sun, 15 Mar 2026 00:04:08 GMT Чувак, в жизни всякое случается: можно и убить кого или стать инвалидом самому, и близкие/друзья неожиданно умирают на ровном месте, и наводнение и пожар.<br>Для почти всего придуманы механизмы смягчения или полной компенсации последствий.<br><br>На этом фоне какой то там взлом чего то там - это пустяк.<br>А вы каждый раз про это пишите так, как будто вы и все ваши близкие от этого умрут в мучениях, поэтому любой ценой этого нельзя допустить.<br><br>Ну типа да, неприятно, но есть оффлайн бэкапы, страховки и прочие штуки.<br>Да, не стоит ставить мой любимый пароль: "11" прям везде или расшаривать самбу без пароля на весь инет - типа не искать приключений на ровном месте.<br>Но упарыватся с растом и прочим - это перебор. Вы на недопущение проблемы хотите потратить больше чем будет стоит ликвидация последствий.<br><br>В бойцовском клубе ГГ именно это и пытался объяснить случайной попутчице когда рассказывал простую формулу для вычисления: когда стоит отзывать авто с деффектом а когда дешевле выплатить компенсации пострадавшим.<br>То Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#84 Sat, 14 Mar 2026 19:46:53 GMT Передовая модель разработки: правим код в произвольном месте, смотрим, что сломалось.<br> Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#83 Sat, 14 Mar 2026 19:45:14 GMT Ламерам - действительно не стоит. Им желательно вообще держаться подальше не только от Си, но и от любой разработки вообще.<br> Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#81 Sat, 14 Mar 2026 19:13:10 GMT На Си можно выстрелить себе в ногу и написать рабочий софт. На смузиязычках же - ни того, ни другого.<br> Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируема... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/139482.html#80 Sat, 14 Mar 2026 19:09:07 GMT 1. Зюзероутер это глюкало к себе притащил: https://build.opensuse.org/projects/openSUSE:Factory/packages/openssh/files/openssh-8.0p1-gssapi-keyex.patch?expand=1<br><br>2. Педальный ынтерпрайзик:<br>https://git.almalinux.org/rpms/openssh/src/commit/f9e5ded9dd5a6c3b31d50c1bc9b996739466c133/openssh-8.0p1-gssapi-keyex.patch<br><br>3. В Gentoo эту дрянь не потащили<br>