OpenSSH には、いくつかの新しいセキュリティ脆弱性が含まれています, そのうちの 1 つは重大な CVE-2023-25136 です。. この脆弱性は、OpenSSH バージョンで導入された事前認証の二重解放の問題です。 9.1. この脆弱性は OpenSSH で対処されています 9.2. もう 1 つの良いニュースは、それを利用するには特別な条件が必要であり、簡単ではないことです。.
CVE-2023-25136: これまでに知られていること?
National Vulnerability Databaseの公式説明によると, 「デフォルト構成では、認証されていない攻撃者によってダブルフリーがトリガーされる可能性があります。; でも, 脆弱性発見者は次のように報告しています。 “この脆弱性を悪用するのは簡単ではありません。”
OpenSSH そのリリース ノートでは、この脆弱性は「悪用可能であるとは考えられていません。, chroot の対象となる権限のない事前認証プロセスで発生します。(2) さらに、ほとんどの主要なプラットフォームでサンドボックス化されています。」
この問題は 7 月に導入されました 2022 1月に最初にOpenSSH Bugzillaに報告されました 2023 セキュリティ研究者 Mantas Mikulenas による.
CVE-2023-25136 の悪用が非常に困難な理由? Qualysの説明によると, 困難は、適切な最新のメモリ アロケータによる保護対策に起因します。. 加えて, 影響を受ける sshd プロセスに堅牢な権限分離とサンドボックスが存在することも、簡単に悪用されるためのもう 1 つの障害です。.
それにもかかわらず, 影響を受けるお客様は OpenSSH にアップグレードする必要があります 9.2 できるだけ早く. 「OpenSSH プロジェクトは、システムへの安全なリモート アクセスを確保するのに役立ってきました。, そして最近リリースされた 9.2 コミュニティのセキュリティに対する彼らのコミットメントの証です,クアリスが追加.
OpenSSHとは?
OpenSSHは 接続ツール SSH プロトコルを使用したリモート ログイン用. その目的は、すべてのトラフィックを暗号化し、盗聴や接続ハイジャックなどのさまざまな攻撃を排除することです. OpenSSH は、多種多様な安全なトンネリング機能を管理します, 認証方法, および構成オプション.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: