انتشار شده در تاریخ 1392/08/19 - 03:30

افشای آسیب ‌پذیری OpenSSH

تیم پشتیبانی از OpenSSH دست به انتشار توصیه‌نامه‌ای در رابطه با یک آسیب‌پذیری زده که نسخه‌های 6.2 و 6.3 از OpenSSH را تحت شعاع قرار داده است.

موسسه خبری سایبربان: تیم پشتیبانی از OpenSSH دست به انتشار توصیه‌نامه‌ای در رابطه با یک آسیب‌پذیری زده که نسخه‌های 6.2 و 6.3 از OpenSSH را تحت شعاع قرار داده است. اگر با OpenSSH آشنایی ندارید باید بگوییم که این نرم‌افزار با هدف فراهم نمودن سرویس‌های SFTP و SSH از سوی طیف وسیعی از کارگزارها و ارائه‌دهندگان سرویس‌های میزبانی مورد استفاده قرار می‌گیرد.

هر آسیب‌پذیری کشف‌شده در این بستر می‌تواند تأثیر قابل توجهی روی دارندگان وب‌گاه‌ها و اینترنت داشته باشد. خبر خوب این است که آسیب‌پذیری مورد بحث فقط نسخه‌های جدیدتر OpenSSH را، که در حال حاضر استفاده‌ی چندانی ندارند، تحت شعاع قرار داده است. اگر از آن دست از کاربرانی هستید که از ابونتو 13.10 یا فدورا 19 استفاده می‌کنید، آسیب‌پذیر محسوب می‌شوید. تمامی توزیع‌های دیگر لینوکس ایمن تلقی می‌شوند. برای حصول اطمینان بیشتر، با استفاده از SSH وارد کارگزار خود شده و دستور زیر را درج کنید:

# sshd -h

OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010

اگر در نتیجه OpenSSH_6.2 یا OpenSSH_6.3 را مشاهده کردید، مطمئن باشید که نسخه‌های آسیب‌پذیر را در اختیار دارید.

اجرای از راه دور کد

تیم OpenSSH در توصیه‌نامه‌ی خود به تفصیل راجع به این آسیب‌پذیری صحبت کرده است:

یک آسیب‌پذیری تخریب حافظه در فرآیند sshd، که پس از احراز هویت اجرا می‌شود، وجود دارد؛ سوءاستفاده از این شکاف ممکن است منجر به اجرای کد با امتیازهای یک کاربر مورد تأیید سامانه شود و می‌تواند باعث نادیده گرفتن پیکربندی‌های فرمان/پوسته‌ گردد.