تمنح ثغرة "RegreSSHion" في OpenSSH المهاجمين إمكانية الوصول إلى نظام التشغيل Linux
تمنح ثغرة "RegreSSHion" في OpenSSH المهاجمين إمكانية الوصول إلى نظام التشغيل Linux
تكبير
الشكل><ص>
الباحثون
يمتلك
حذر
ل
أ
شديد الأهمية
هشاشة
تؤثر
ال
OpenSSH
الشبكات
جدوى
ان
يمكن
يكون
مستغل
الى
يعطي
المهاجمين
مكتمل
يتحكم
ل
لينكس
و
يونكس
الخوادم
مع
لا
المصادقة
مطلوب.
<ص>
ال
هشاشة،
متابعة
مثل
CVE-2024-6387,
يسمح
غير مصادق عليه
بعيد
مشفرة
تنفيذ
مع
جذر
نظام
حقوق
على
لينكس
أنظمة
ان
نكون
قاعدة
على
جليبك,
أ
يفتح
مصدر
تطبيق
ل
ال
ضد
معيار
مكتبة.
ال
هشاشة
شرق
ال
نتيجة
ل
أ
مشفرة
تراجع
قدَّم
في
2020
ان
أعيد تقديمه
كفي-2006-5051،
أ
هشاشة
ان
كان
مُثَبَّت
في
2006.
مع
الآلاف,
لو
لا
الملايين،
ل
مُعَرَّض
الخوادم
مستعمرة
ال
الإنترنت،
هذا
آخر
هشاشة
استطاع
وضع
أ
بارِز
خطر.
مكتمل
نظام
الاستئناف
<ص>
"هذا
هشاشة،
لو
استغلال,
استطاع
يقود
الى
مكتمل
نظام
مساومة
أو
أ
مهاجم
يمكن
ينفذ
اِعتِباطِيّ
مشفرة
مع
ال
أعلى
امتيازات,
الناتج
في
أ
مكتمل
نظام
الاستئناف،
منشأة
ل
برامج ضارة,
بيانات
معالجة،
و
ال
تأسيس
ل
أبواب خلفية
ل
مثابر
تنضم،"
كتب
بهارات
جوجي,
ال
كبير
مخرج
ل
تهديد
بحث
الى
كواليس,
ال
حماية
مزرعة
ان
اكتشف
هو.
"هو
استطاع
يسهل
شبكة
الانتشار،
السماح
المهاجمين
الى
ليستخدم
أ
مساومة
نظام
مثل
أ
ترسخ
الى
لكي اعبر
و
يستغل
آخر
مُعَرَّض
أنظمة
في
ال
منظمة. »
<ص>
ال
مخاطرة
شرق
في
جزء
قاد
بواسطة
ال
وسط
دور
OpenSSH
قِطَع
في
افتراضيًا
كل
داخلي
شبكة
متصل
الى
ال
الإنترنت.
هو
يوفر
أ
قناة
ل
المسؤولين
الى
يتصل
الى
محمي
الأجهزة
عن بعد
أو
منذ
أ
جهاز
الى
آخر
في الداخل
ال
شبكة.
ال
قدرة
ل
OpenSSH
الى
يدعم
عديد
قوي
التشفير
البروتوكولات,
إنها
التكامل
في
افتراضيًا
الجميع
حديث
التشغيل
أنظمة,
و
إنها
موقع
الى
ال
جداً
محيط
ل
الشبكات
ابعد
قيادة
إنها
الشعبية.
<ص>
فضلاً عن ذلك
ال
الوجود في كل مكان
ل
مُعَرَّض
الخوادم
مستعمرة
ال
الإنترنت،
CVE-2024-6387
أيضا
يوفر
أ
قوي
وسائل
ل
تنفيذ
ضارة
مشفرة
السيقان
مع
ال
أعلى
امتيازات,
مع
لا
المصادقة
مطلوب.
ال
تقصير
السيقان
منذ
معيب
إدارة
ل
ال
الإشارة
مدير،
أ
عنصر
في
glibc
ل
إجابة
الى
يحتمل
جاد
الأحداث
هذه
مثل
القسمة على صفر
محاولات.
متى
أ
عميل
جهاز
بدأت
أ
اتصال
لكن
ليس
بنجاح
مصادقة
نفسه
في
أ
مُكَلَّف
وقت
(120
ثواني
بواسطة
تقصير)،
مُعَرَّض
OpenSSH
أنظمة
يتصل
ما هذا
معروف
مثل
أ
سيجالرم
مدير
بشكل غير متزامن.
ال
تقصير
يتواجد
في
صه،
ال
ابتدائي
OpenSSH
محرك.
كواليس
الى
معين
ال
هشاشة
regreSSHion.
<ص>
ال
جاذبية
ل
ال
تهديد
وضع
بواسطة
استغلال
شرق
بارِز،
لكن
متنوع
عوامل
نكون
محتمل
الى
يمنع
هو
منذ
يكون
كتلة
استغلال,
حماية
خبراء
قال.
ل
أ،
ال
هجوم
يمكن
يأخذ
مثل
طويل
مثل
ثمانية
ساعات
الى
مكتمل
و
يتطلب
مثل
كثيراً
مثل
10.000
المصادقة
لا،
ستان
كامينسكي،
أ
باحث
الى
حماية
مزرعة
كاسبيرسكي,
قال.
ال
تأخير
نتائج
منذ
أ
الدفاع
معروف
مثل
عنوان
فضاء
تصميم
العشوائية,
أيّ
التغييرات
ال
ذاكرة
عناوين
أو
تنفيذ
مشفرة
شرق
مخزن
الى
إحباط
محاولات
الى
يجري
ضارة
الحمولات.
<ص>
آخر
حدود
يتقدم.
المهاجمين
يجب
أيضا
يعرف
ال
محدد
نظام التشغيل
جري
على
كل
هدف
الخادم.
لذا
بعيد،
لا
أ
الى
يجد
أ
طريق
الى
يستغل
64 بت
أنظمة
منذ
ال
رقم
ل
متاح
ذاكرة
عناوين
شرق
أضعافا مضاعفة
أعلى
ان
أولئك
متاح
ل
32 بت
أنظمة.
ابعد
يخفف من
ال
احتمال
ل
نجاح،
تم رفض الخدمة
الهجمات
ان
حد
ال
رقم
ل
اتصال
طلبات
مستقبل
في
أ
مُعَرَّض
نظام
إرادة
يمنع
استغلال
محاولات
منذ
تنجح.
<ص>
الجميع
ل
أولئك
حدود
إرادة
محتمل
يمنع
CVE-2024-6387
منذ
يكون
كتلة
استغلال,
الباحثين
قال،
لكن
يوجد
دائماً
ال
مخاطرة
ل
هدف
الهجمات
ان
الفلفل
أ
محدد
شبكة
ل
اهتمام
مع
المصادقة
محاولات
على
أ
موضوع
ل
أيام
حتى
السماح
مشفرة
تنفيذ.
الى
بطانية
هُم
مسارات،
المهاجمين
استطاع
نشر
طلبات
عبر
أ
كبير
رقم
ل
الملكية الفكرية
عناوين
في
أ
موضة
مشابه
الى
رذاذ كلمة المرور
الهجمات.
في
هذا
طريق،
المهاجمين
استطاع
هدف
أ
مقبض
ل
مُعَرَّض
لا...
تكبير
الشكل><ص>
الباحثون
يمتلك
حذر
ل
أ
شديد الأهمية
هشاشة
تؤثر
ال
OpenSSH
الشبكات
جدوى
ان
يمكن
يكون
مستغل
الى
يعطي
المهاجمين
مكتمل
يتحكم
ل
لينكس
و
يونكس
الخوادم
مع
لا
المصادقة
مطلوب.
<ص>
ال
هشاشة،
متابعة
مثل
CVE-2024-6387,
يسمح
غير مصادق عليه
بعيد
مشفرة
تنفيذ
مع
جذر
نظام
حقوق
على
لينكس
أنظمة
ان
نكون
قاعدة
على
جليبك,
أ
يفتح
مصدر
تطبيق
ل
ال
ضد
معيار
مكتبة.
ال
هشاشة
شرق
ال
نتيجة
ل
أ
مشفرة
تراجع
قدَّم
في
2020
ان
أعيد تقديمه
كفي-2006-5051،
أ
هشاشة
ان
كان
مُثَبَّت
في
2006.
مع
الآلاف,
لو
لا
الملايين،
ل
مُعَرَّض
الخوادم
مستعمرة
ال
الإنترنت،
هذا
آخر
هشاشة
استطاع
وضع
أ
بارِز
خطر.
مكتمل
نظام
الاستئناف
<ص>
"هذا
هشاشة،
لو
استغلال,
استطاع
يقود
الى
مكتمل
نظام
مساومة
أو
أ
مهاجم
يمكن
ينفذ
اِعتِباطِيّ
مشفرة
مع
ال
أعلى
امتيازات,
الناتج
في
أ
مكتمل
نظام
الاستئناف،
منشأة
ل
برامج ضارة,
بيانات
معالجة،
و
ال
تأسيس
ل
أبواب خلفية
ل
مثابر
تنضم،"
كتب
بهارات
جوجي,
ال
كبير
مخرج
ل
تهديد
بحث
الى
كواليس,
ال
حماية
مزرعة
ان
اكتشف
هو.
"هو
استطاع
يسهل
شبكة
الانتشار،
السماح
المهاجمين
الى
ليستخدم
أ
مساومة
نظام
مثل
أ
ترسخ
الى
لكي اعبر
و
يستغل
آخر
مُعَرَّض
أنظمة
في
ال
منظمة. »
<ص>
ال
مخاطرة
شرق
في
جزء
قاد
بواسطة
ال
وسط
دور
OpenSSH
قِطَع
في
افتراضيًا
كل
داخلي
شبكة
متصل
الى
ال
الإنترنت.
هو
يوفر
أ
قناة
ل
المسؤولين
الى
يتصل
الى
محمي
الأجهزة
عن بعد
أو
منذ
أ
جهاز
الى
آخر
في الداخل
ال
شبكة.
ال
قدرة
ل
OpenSSH
الى
يدعم
عديد
قوي
التشفير
البروتوكولات,
إنها
التكامل
في
افتراضيًا
الجميع
حديث
التشغيل
أنظمة,
و
إنها
موقع
الى
ال
جداً
محيط
ل
الشبكات
ابعد
قيادة
إنها
الشعبية.
<ص>
فضلاً عن ذلك
ال
الوجود في كل مكان
ل
مُعَرَّض
الخوادم
مستعمرة
ال
الإنترنت،
CVE-2024-6387
أيضا
يوفر
أ
قوي
وسائل
ل
تنفيذ
ضارة
مشفرة
السيقان
مع
ال
أعلى
امتيازات,
مع
لا
المصادقة
مطلوب.
ال
تقصير
السيقان
منذ
معيب
إدارة
ل
ال
الإشارة
مدير،
أ
عنصر
في
glibc
ل
إجابة
الى
يحتمل
جاد
الأحداث
هذه
مثل
القسمة على صفر
محاولات.
متى
أ
عميل
جهاز
بدأت
أ
اتصال
لكن
ليس
بنجاح
مصادقة
نفسه
في
أ
مُكَلَّف
وقت
(120
ثواني
بواسطة
تقصير)،
مُعَرَّض
OpenSSH
أنظمة
يتصل
ما هذا
معروف
مثل
أ
سيجالرم
مدير
بشكل غير متزامن.
ال
تقصير
يتواجد
في
صه،
ال
ابتدائي
OpenSSH
محرك.
كواليس
الى
معين
ال
هشاشة
regreSSHion.
<ص>
ال
جاذبية
ل
ال
تهديد
وضع
بواسطة
استغلال
شرق
بارِز،
لكن
متنوع
عوامل
نكون
محتمل
الى
يمنع
هو
منذ
يكون
كتلة
استغلال,
حماية
خبراء
قال.
ل
أ،
ال
هجوم
يمكن
يأخذ
مثل
طويل
مثل
ثمانية
ساعات
الى
مكتمل
و
يتطلب
مثل
كثيراً
مثل
10.000
المصادقة
لا،
ستان
كامينسكي،
أ
باحث
الى
حماية
مزرعة
كاسبيرسكي,
قال.
ال
تأخير
نتائج
منذ
أ
الدفاع
معروف
مثل
عنوان
فضاء
تصميم
العشوائية,
أيّ
التغييرات
ال
ذاكرة
عناوين
أو
تنفيذ
مشفرة
شرق
مخزن
الى
إحباط
محاولات
الى
يجري
ضارة
الحمولات.
<ص>
آخر
حدود
يتقدم.
المهاجمين
يجب
أيضا
يعرف
ال
محدد
نظام التشغيل
جري
على
كل
هدف
الخادم.
لذا
بعيد،
لا
أ
الى
يجد
أ
طريق
الى
يستغل
64 بت
أنظمة
منذ
ال
رقم
ل
متاح
ذاكرة
عناوين
شرق
أضعافا مضاعفة
أعلى
ان
أولئك
متاح
ل
32 بت
أنظمة.
ابعد
يخفف من
ال
احتمال
ل
نجاح،
تم رفض الخدمة
الهجمات
ان
حد
ال
رقم
ل
اتصال
طلبات
مستقبل
في
أ
مُعَرَّض
نظام
إرادة
يمنع
استغلال
محاولات
منذ
تنجح.
<ص>
الجميع
ل
أولئك
حدود
إرادة
محتمل
يمنع
CVE-2024-6387
منذ
يكون
كتلة
استغلال,
الباحثين
قال،
لكن
يوجد
دائماً
ال
مخاطرة
ل
هدف
الهجمات
ان
الفلفل
أ
محدد
شبكة
ل
اهتمام
مع
المصادقة
محاولات
على
أ
موضوع
ل
أيام
حتى
السماح
مشفرة
تنفيذ.
الى
بطانية
هُم
مسارات،
المهاجمين
استطاع
نشر
طلبات
عبر
أ
كبير
رقم
ل
الملكية الفكرية
عناوين
في
أ
موضة
مشابه
الى
رذاذ كلمة المرور
الهجمات.
في
هذا
طريق،
المهاجمين
استطاع
هدف
أ
مقبض
ل
مُعَرَّض
لا...