forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуски  libssh2 1.8.1 и Putty 0.71 с устранением уязвимостей"
Отправлено opennews, 21-Мрт-19 20:37

Доступен (https://lists.tartarus.org/pipermail/putty-announce/2019/000...) новый выпуск  SSH-клиента PuTTY 0.71 (https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html), в котором устранены четыре уязвимости, выявленные участниками  инициативы FOSSA (https://www.opennet.ru/opennews/art.shtml?num=49912) (Free and Open Source Software Audit), выплачивающей вознаграждение за обнаружение уязвимостей в ключевых открытых проектах, применяемых в госучреждениях Евросоюза. Две уязвимости позволяют вызвать переполнение буфера и потенциально выполнить код при подключении к серверу, подконтрольному злоумышленнику.

-  Первая уязвимость затрагивает протокол обмена ключами RSA  и проявляется на стадии до верификации ключа хоста, т.е. система может быть атакована через проведение MITM-атаки без непосредственной компрометации сервера.
-  Вторая проблема проявляется после установки соединения и инициируется через создание сервером слишком большого числа перенаправлений портов.
-  Третья уязвимость позволяет вызвать отказ в обслуживании (крах PuTTY или потребление значительных ресурсов памяти и CPU) при запуске на сервере в рамках установленного сеанса приложений, выводящих определённые последовательности в терминал.
-  Четвёртая уязвимость специфична для Windows и проявляется при размещении chm-файла атакующего в каталоге, в котором запускается PuTTY.
В новом выпуске PuTTY также предпринято несколько мер по повышению безопасности:

-  Код, связанный с криптографией, переписан для защиты от атак по сторонним каналам;
-  Для блокирования подставных фиктивных запросов паролей визуально разделены запросы аутентификации PuTTY и вывод в терминале сообщений сервера;
-  Реализована чистка управляющих символов при копировании данных через буфер обмена, вывода в терминал и обработке имён файлов.
Из не связанных с безопасностью изменений можно отметить:

-  Добавлена поддержка запуска интерфейса PuTTY с использованием GTK поверх протокола  Wayland;
-  Улучшена работа на экранах  high-DPI;
-  Добавлены реализации AES, SHA-256 и
SHA-1, использующие предоставляемые процессорами ARM и X86 инструкции для аппаратного ускорения криптографических операций.
-   Добавлена поддержка полноцветного вывода (True Color) в терминалах с использованием управляющих последовательностей SGR 2.
-  Приглашения аутентификации теперь могут содержать символы, не ограниченные колировкой US-ASCII.
-  Добавлена поддержка аутентификации в Kerberos через GSSAPI.
-  Улучшена работа с буфером обмена, в том числе появилась опция для и автоматического помещения текста в буфер обмена сразу после его выделения и возможность работы с несколькими буферами обмена.
-  Добавлены новые горячие клавиши  Ctrl+Shift+PgUp и Ctrl+Shift+PgDn для перехода к верхней и нижней частям истории прокрутки.

Также состоялся новый выпуск библиотеки libssh2 1.8.1 (https://www.libssh2.org/), предлагающей реализацию протокола SSH2 для интеграции функций SSH-клиента в произвольные приложения, в котором устранено 9 уязвимостей (https://seclists.org/oss-sec/2019/q1/184). Четыре проблемы позволяют организовать запись за пределы выделенного буфера и потенциально выполнить код злоумышленника в контексте клиентского приложения при обработке специально оформленных данных, поступающих при подключении к серверу, подконтрольному атакующему.

URL: https://lists.tartarus.org/pipermail/putty-announce/2019/000...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50365

Исходное сообщение
"Выпуски libssh2 1.8.1 и Putty 0.71 с устранением уязвимостей" Отправлено opennews, 21-Мрт-19 20:37
Доступен (https://lists.tartarus.org/pipermail/putty-announce/2019/000...) новый выпуск SSH-клиента PuTTY 0.71 (https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html), в котором устранены четыре уязвимости, выявленные участниками инициативы FOSSA (https://www.opennet.ru/opennews/art.shtml?num=49912) (Free and Open Source Software Audit), выплачивающей вознаграждение за обнаружение уязвимостей в ключевых открытых проектах, применяемых в госучреждениях Евросоюза. Две уязвимости позволяют вызвать переполнение буфера и потенциально выполнить код при подключении к серверу, подконтрольному злоумышленнику. - Первая уязвимость затрагивает протокол обмена ключами RSA и проявляется на стадии до верификации ключа хоста, т.е. система может быть атакована через проведение MITM-атаки без непосредственной компрометации сервера. - Вторая проблема проявляется после установки соединения и инициируется через создание сервером слишком большого числа перенаправлений портов. - Третья уязвимость позволяет вызвать отказ в обслуживании (крах PuTTY или потребление значительных ресурсов памяти и CPU) при запуске на сервере в рамках установленного сеанса приложений, выводящих определённые последовательности в терминал. - Четвёртая уязвимость специфична для Windows и проявляется при размещении chm-файла атакующего в каталоге, в котором запускается PuTTY. В новом выпуске PuTTY также предпринято несколько мер по повышению безопасности: - Код, связанный с криптографией, переписан для защиты от атак по сторонним каналам; - Для блокирования подставных фиктивных запросов паролей визуально разделены запросы аутентификации PuTTY и вывод в терминале сообщений сервера; - Реализована чистка управляющих символов при копировании данных через буфер обмена, вывода в терминал и обработке имён файлов. Из не связанных с безопасностью изменений можно отметить: - Добавлена поддержка запуска интерфейса PuTTY с использованием GTK поверх протокола Wayland; - Улучшена работа на экранах high-DPI; - Добавлены реализации AES, SHA-256 и SHA-1, использующие предоставляемые процессорами ARM и X86 инструкции для аппаратного ускорения криптографических операций. - Добавлена поддержка полноцветного вывода (True Color) в терминалах с использованием управляющих последовательностей SGR 2. - Приглашения аутентификации теперь могут содержать символы, не ограниченные колировкой US-ASCII. - Добавлена поддержка аутентификации в Kerberos через GSSAPI. - Улучшена работа с буфером обмена, в том числе появилась опция для и автоматического помещения текста в буфер обмена сразу после его выделения и возможность работы с несколькими буферами обмена. - Добавлены новые горячие клавиши Ctrl+Shift+PgUp и Ctrl+Shift+PgDn для перехода к верхней и нижней частям истории прокрутки. Также состоялся новый выпуск библиотеки libssh2 1.8.1 (https://www.libssh2.org/), предлагающей реализацию протокола SSH2 для интеграции функций SSH-клиента в произвольные приложения, в котором устранено 9 уязвимостей (https://seclists.org/oss-sec/2019/q1/184). Четыре проблемы позволяют организовать запись за пределы выделенного буфера и потенциально выполнить код злоумышленника в контексте клиентского приложения при обработке специально оформленных данных, поступающих при подключении к серверу, подконтрольному атакующему. URL: https://lists.tartarus.org/pipermail/putty-announce/2019/000... Новость: https://www.opennet.ru/opennews/art.shtml?num=50365

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доступен (https://lists.tartarus.org/pipermail/putty-announce/2019/000027.html) 
> новый выпуск  SSH-клиента PuTTY 0.71 (https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html), 
> в котором устранены четыре уязвимости, выявленные участниками  инициативы FOSSA (https://www.opennet.ru/opennews/art.shtml?num=49912) 
> (Free and Open Source Software Audit), выплачивающей вознаграждение за обнаружение уязвимостей 
> в ключевых открытых проектах, применяемых в госучреждениях Евросоюза. Две уязвимости позволяют 
> вызвать переполнение буфера и потенциально выполнить код при подключении к серверу, 
> подконтрольному злоумышленнику.

> -  Первая уязвимость затрагивает протокол обмена ключами RSA  и проявляется 
> на стадии до верификации ключа хоста, т.е. система может быть атакована 
> через проведение MITM-атаки без непосредственной компрометации сервера.
> -  Вторая проблема проявляется после установки соединения и инициируется через создание 
> сервером слишком большого числа перенаправлений портов.
> -  Третья уязвимость позволяет вызвать отказ в обслуживании (крах PuTTY или 
> потребление значительных ресурсов памяти и CPU) при запуске на сервере в 
> рамках установленного сеанса приложений, выводящих определённые последовательности 
> в терминал.
> -  Четвёртая уязвимость специфична для Windows и проявляется при размещении chm-файла 
> атакующего в каталоге, в котором запускается PuTTY.

> В новом выпуске PuTTY также предпринято несколько мер по повышению безопасности:

> -  Код, связанный с криптографией, переписан для защиты от атак по 
> сторонним каналам; 
> -  Для блокирования подставных фиктивных запросов паролей визуально разделены запросы аутентификации 
> PuTTY и вывод в терминале сообщений сервера; 
> -  Реализована чистка управляющих символов при копировании данных через буфер обмена, 
> вывода в терминал и обработке имён файлов.

> Из не связанных с безопасностью изменений можно отметить:

> -  Добавлена поддержка запуска интерфейса PuTTY с использованием GTK поверх протокола 
>  Wayland; 
> -  Улучшена работа на экранах  high-DPI; 
> -  Добавлены реализации AES, SHA-256 и 
>  SHA-1, использующие предоставляемые процессорами ARM и X86 инструкции для аппаратного 
> ускорения криптографических операций.
> -   Добавлена поддержка полноцветного вывода (True Color) в терминалах с 
> использованием управляющих последовательностей SGR 2.
> -  Приглашения аутентификации теперь могут содержать символы, не ограниченные колировкой 
> US-ASCII.
> -  Добавлена поддержка аутентификации в Kerberos через GSSAPI.
> -  Улучшена работа с буфером обмена, в том числе появилась опция 
> для и автоматического помещения текста в буфер обмена сразу после его 
> выделения и возможность работы с несколькими буферами обмена.
> -  Добавлены новые горячие клавиши  Ctrl+Shift+PgUp и Ctrl+Shift+PgDn для перехода 
> к верхней и нижней частям истории прокрутки.

> Также состоялся новый выпуск библиотеки libssh2 1.8.1 (https://www.libssh2.org/), предлагающей 
> реализацию протокола SSH2 для интеграции функций SSH-клиента в произвольные приложения, 
> в котором устранено 9 уязвимостей (https://seclists.org/oss-sec/2019/q1/184). Четыре 
> проблемы позволяют организовать запись за пределы выделенного буфера и потенциально выполнить 
> код злоумышленника в контексте клиентского приложения при обработке специально оформленных 
> данных, поступающих при подключении к серверу, подконтрольному атакующему.

> URL: https://lists.tartarus.org/pipermail/putty-announce/2019/000027.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50365

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру