URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 43956
[ Назад ]

Исходное сообщение
"OpenNews: DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux"
Отправлено opennews , 19-Сен-08 22:33

"New openssh packages fix denial of service (http://lists.debian.org/debian-security-announce/2008/msg002...)" - DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux. Используя проблему в обработчике сигналов openssh, удаленный злоумышленник может вызвать блокировку SSH доступа, наводнив систему зомби-процессами sshd.
URL: http://lists.debian.org/debian-security-announce/2008/msg002...
Новость: https://www.opennet.ru/opennews/art.shtml?num=18002

Содержание

DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux,Аноним, 22:33 , 19-Сен-08
DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux,inste, 23:21 , 19-Сен-08
- DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux,prapor, 00:45 , 20-Сен-08
  - DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux,csdoc, 21:13 , 20-Сен-08
    - DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux,User294, 23:41 , 20-Сен-08
      - DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux,csdoc, 23:53 , 20-Сен-08

Сообщения в этом обсуждении

"DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux"
Отправлено Аноним , 19-Сен-08 22:33

Дебиян на воде работает? Может быть наплодит, а не наводнит?

"DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux"
Отправлено inste , 19-Сен-08 23:21

Что-то в последнее время OpenSSH прорвало на дыры. :(
Эта уязвимость актуальна только для Debian?

"DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux"
Отправлено prapor , 20-Сен-08 00:45

>Что-то в последнее время OpenSSH прорвало на дыры. :(
>Эта уязвимость актуальна только для Debian?
По ссылке:
Debian-specific: no

"DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux"
Отправлено csdoc , 20-Сен-08 21:13

судя по всему, эта уязвимость есть только в Debian`е и OpenBSD.
по крайней мере, ее не было и нет в CentOS и RHEL.
Vulnerability Summary for CVE-2008-4109
A certain Debian patch for OpenSSH before 4.3p2-9etch3 on etch,
and before 4.6p1-1 on sid and lenny, uses functions that are
not async-signal-safe in the signal handler for login timeouts,
which allows remote attackers to cause a denial of service
(connection slot exhaustion) via multiple login attempts.
NOTE: this issue exists because of an incorrect fix for CVE-2006-5051.
Official Statement from Red Hat
Not vulnerable. The patch used to fix CVE-2006-5051
in Red Hat Enterprise Linux 2.1, 3, 4, and 5
was complete and does not suffer from this problem.

"DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux"
Отправлено User294 , 20-Сен-08 23:41

>судя по всему, эта уязвимость есть только в Debian`е и OpenBSD.
Как-то подозрительно и неубедительно это звучит.

"DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux"
Отправлено csdoc , 20-Сен-08 23:53

>>судя по всему, эта уязвимость есть только в Debian`е и OpenBSD.
>
>Как-то подозрительно и неубедительно это звучит.
согласен. я убедился только, что нет уязвимости в CentOS и RHEL,
и дальше не стал искать. а источник информации у меня был один:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4109
уязвимы ли какие-то другие системы кроме Debian и OpenBSD -
(например, Ubuntu) - я и сам в этом не убедился на все 100%.