DEFESA DESTAQUES

OpenSSH lança patch para nova vulnerabilidade pré-autenticação gratuita dupla

Os mantenedores do OpenSSH lançaram o OpenSSH 9.2 para resolver vários bugs de segurança, incluindo uma vulnerabilidade de segurança de memória no servidor OpenSSH (sshd).

Os mantenedores do OpenSSH lançaram o OpenSSH 9.2 para resolver vários bugs de segurança, incluindo uma vulnerabilidade de segurança de memória no servidor OpenSSH (sshd).

Rastreada como CVE-2023-25136 , a falha foi classificada como uma vulnerabilidade gratuita dupla de pré-autenticação que foi introduzida na versão 9.1.

“Acredita-se que isso não seja explorável e ocorre no processo de pré-autenticação não privilegiado que está sujeito ao chroot (2) e é ainda mais protegido na maioria das plataformas principais”, divulgou o OpenSSH em suas notas de lançamento em 2 de fevereiro de 2023.

O responsável por relatar a falha ao OpenSSH em julho de 2022 é o pesquisador de segurança Mantas Mikulenas.

OpenSSH é a implementação de software livre do protocolo Secure Shell ( SSH ) que oferece um conjunto de serviços para comunicações criptografadas em uma rede não segura em uma arquitetura cliente-servidor.

“A exposição ocorre no pedaço de memória liberado duas vezes, o ‘options.kex_algorithms'”, disse Saeed Abbasi, gerente de pesquisa de vulnerabilidade da Qualys, acrescentando que o problema resulta em uma “dupla liberação no processo sshd sem privilégios”.

Falhas duplas livres surgem quando um pedaço de código vulnerável chama a função free() – que é usada para desalocar blocos de memória – duas vezes, levando à corrupção de memória, que, por sua vez, pode levar a uma falha ou execução de código arbitrário.

“Liberar memória duplamente pode resultar em uma condição de escrever o quê, onde , permitindo que um invasor execute código arbitrário”, observa o MITRE em sua descrição da falha.

“Embora a vulnerabilidade dupla livre no OpenSSH versão 9.1 possa levantar preocupações, é essencial observar que explorar esse problema não é uma tarefa simples”, explicou Abbasi.

“Isso se deve às medidas de proteção implementadas pelos alocadores de memória modernos e à robusta separação de privilégios e sandbox implementada no processo sshd afetado”.

Recomenda-se que os usuários atualizem para o OpenSSH 9.2 para mitigar possíveis ameaças à segurança.

18 thoughts on “OpenSSH lança patch para nova vulnerabilidade pré-autenticação gratuita dupla

  1. Pingback: visit them
  2. Pingback: pgslot
  3. Pingback: Family Lotto เว็บหวยครบวงจร สมัครฟรี
  4. Pingback: ติดเน็ตบ้าน เอไอเอส
  5. Pingback: Aviator
  6. Pingback: สบาย168
  7. Pingback: hiso23
  8. Pingback: วางระบบเน็ตเวิร์ค ระยอง
  9. Pingback: บาคาร่าเกาหลี
  10. Pingback: ktvvip
  11. Pingback: uspin88
  12. Pingback: ร้านขายเครื่องมือช่าง
  13. Pingback: savia484
  14. Pingback: HILO789
  15. Pingback: https://korean-health.kz/home
  16. Pingback: 123bet login
  17. Pingback: Verloskundigen Kampen
  18. Pingback: แหวนแต่งงาน

Comments are closed.

+Mais