Прогресс в создании эксплоита для OpenSSH 9.1
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Qualys нашла способ обойти защиту malloc и double-free для
инициирования передачи управления коду, используя уязвимость в OpenSSH 9.1, риск создания рабочего эксплоита для которой был определён как маловероятный. При этом возможность создания работающего эксплоита пока остаётся под большим вопросом.
Уязвимость вызвана двойным освобождением области памяти на стадии до прохождения аутентификации. Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на "SSH-2.0-FuTTYSH_9.1p1" (или другой старый SSH-клиент) для того, чтобы добиться выставления флагов "SSH_BUG_CURVE25519PAD" и "SSH_OLD_DHGEX". После выставления данных флагов память под буфер "options.kex_algorithms" освобождается два раза.
Исследователи из Qualys в ходе манипуляций с уязвимостью смогли добиться контроля над регистром процессора "%rip", содержащим указатель на следующую инструкцию для выполнения. Разработанная техника эксплуатации позволяет передать управление в любую точку адресного пространства процесса sshd в необновлённом окружении OpenBSD 7.2, по умолчанию поставляемом с OpenSSH 9.1.
Отмечается, что предложенный прототип является реализацией лишь первой стадии атаки - для создания работающего эксплоита необходимо обойти механизмы защиты ASLR, NX и ROP, и выйти из sandbox-изоляции, что маловероятно. Для решения задачи обхода ASLR, NX и ROP требуется получить информации об адресах, чего можно добиться выявив ещё одну уязвимость, приводящую к утечке информации. Для выхода из sandbox может помочь ошибка в привилегированном родительском процессе или ядре.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.openwall.com/lists...)
- OpenNews: Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации
- OpenNews: Уязвимость в ld.so OpenBSD
- OpenNews: Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd
- OpenNews: Уязвимости в OpenSMTPD, позволяющие удалённо и локально получить права root
- OpenNews: Удалённо эксплуатируемая уязвимость в почтовом сервере qmail
Похожие новости:
- Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации
- Релиз OpenSSH 9.1
- Релиз OpenSSH 9.0 с переводом scp на протокол SFTP
- Релиз OpenSSH 8.9 с устранением уязвимости в sshd
- Релиз OpenSSH 8.8 с отключением поддержки цифровых подписей rsa-sha
- Релиз OpenSSH 8.7
- Релиз OpenSSH 8.6 с устранением уязвимости
- [Информационная безопасность, Криптография, Open source] Релиз OpenSSH 8.5
- Релиз OpenSSH 8.5
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Серверное администрирование] Как настроить SSH-Jump Server
Теги для поиска: #_openssh
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 14:29
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Компания Qualys нашла способ обойти защиту malloc и double-free для инициирования передачи управления коду, используя уязвимость в OpenSSH 9.1, риск создания рабочего эксплоита для которой был определён как маловероятный. При этом возможность создания работающего эксплоита пока остаётся под большим вопросом. Уязвимость вызвана двойным освобождением области памяти на стадии до прохождения аутентификации. Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на "SSH-2.0-FuTTYSH_9.1p1" (или другой старый SSH-клиент) для того, чтобы добиться выставления флагов "SSH_BUG_CURVE25519PAD" и "SSH_OLD_DHGEX". После выставления данных флагов память под буфер "options.kex_algorithms" освобождается два раза. Исследователи из Qualys в ходе манипуляций с уязвимостью смогли добиться контроля над регистром процессора "%rip", содержащим указатель на следующую инструкцию для выполнения. Разработанная техника эксплуатации позволяет передать управление в любую точку адресного пространства процесса sshd в необновлённом окружении OpenBSD 7.2, по умолчанию поставляемом с OpenSSH 9.1. Отмечается, что предложенный прототип является реализацией лишь первой стадии атаки - для создания работающего эксплоита необходимо обойти механизмы защиты ASLR, NX и ROP, и выйти из sandbox-изоляции, что маловероятно. Для решения задачи обхода ASLR, NX и ROP требуется получить информации об адресах, чего можно добиться выявив ещё одну уязвимость, приводящую к утечке информации. Для выхода из sandbox может помочь ошибка в привилегированном родительском процессе или ядре. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 14:29
Часовой пояс: UTC + 5