Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от opennews (??), 15-Янв-19, 12:10 | ||
В реализациях утилиты SCP от проектов OpenSSH, PuTTY и WinSCP выявлены (https://www.openwall.com/lists/oss-security/2019/01/14/1) четыре уязвимости (https://sintonen.fi/advisories/scp-client-multiple-vulnerabi...), позволяющие на стороне клиента манипулировать выводом информации в терминал, организовать запись произвольных файлов в целевой каталог или изменить права доступа на каталог при обращении к серверу, подконтрольному злоумышленнику. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +2 +/– | |
Сообщение от Аноним (1), 15-Янв-19, 12:10 | ||
Интересно как у rsync с этим, теоретически он должен быть даже более уязвим для таких вещей, я имею ввиду сам протокол. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
17. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +4 +/– | |
Сообщение от solardiz (ok), 15-Янв-19, 16:33 | ||
rsync обычно используется в другой threat model - синхронизируется дерево целиком, и клиент (и его пользователь) осознанно доверяет серверу в отношении того, какие имена файлов с какими правами придут внутри этого дерева, но не в отношении доступов за пределы дерева. Такая уязвимость в rsync была до 2015 года (https://www.opennet.ru/opennews/art.shtml?num=43566), в то время scp на такую атаку проверяет вроде бы с 2000 года (судя по CVE-2000-0992). | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
2. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +1 +/– | |
Сообщение от svsd_val (ok), 15-Янв-19, 12:19 | ||
Хех, любопытные ошибки ... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от kai3341 (ok), 15-Янв-19, 12:50 | ||
На Heartbleed не потянет | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от Anon4ik_ (?), 15-Янв-19, 12:54 | ||
Ну вот, Тео придется слоган менять. Уязвимость вполне себе удаленная и вполне себе из коробки. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
5. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +1 +/– | |
Сообщение от Andrey Mitrofanov (?), 15-Янв-19, 13:03 | ||
> Ну вот, Тео придется слоган менять. Уязвимость вполне себе удаленная и вполне | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
7. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | –1 +/– | |
Сообщение от Аноним (7), 15-Янв-19, 13:22 | ||
Запущен, установлен и вообше часть базовой системы. Но это не remote vulnerability. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
8. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +1 +/– | |
Сообщение от кульхаксор (?), 15-Янв-19, 13:26 | ||
так sshd-то не у него, а у меня - все норм, запущен. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
19. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | –2 +/– | |
Сообщение от Аноним (19), 15-Янв-19, 19:40 | ||
Тео юзает OpenBSD через пусси.ехе из Десяточки (с) аноним с опеннета | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
6. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +1 +/– | |
Сообщение от J.L. (?), 15-Янв-19, 13:11 | ||
действительно интересные баги в череде переполнений и анализов кеша по сторонним каналам | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
9. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +2 +/– | |
Сообщение от Аноним (9), 15-Янв-19, 14:34 | ||
Помните новость про награду за уязвимость в используемых в гос. учреждениях ЕС? Так вот списке была PuTTY. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
11. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от Аноним (11), 15-Янв-19, 14:44 | ||
Потому над блокнотом стебался а не putty. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
10. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от dubadaba (?), 15-Янв-19, 14:36 | ||
Видать Тео опять нужны деньги на оплату электроэнергии. Срочно скидывайтесь! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
12. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +6 +/– | |
Сообщение от нах (?), 15-Янв-19, 15:12 | ||
зачем? Без электроэнергии его система абсолютно неуязвима. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
14. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | –1 +/– | |
Сообщение от Аноним (14), 15-Янв-19, 15:42 | ||
Ну вот, если так дела и дальше пойдут, придется одевать защитные очки/наушники/валенки/шапочку из фольги, запускать ssh клиента из под отдельной одноразовой виртуалки запущенной из под Qubes OS (здесь подставить имя своей любимой системы защиты/виртуализации/прочей неведомой хрени). После работы сжигать латексные перчатки, и вообще, ни в коем случае, Ни-Ни ;)! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
16. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | –3 +/– | |
Сообщение от Ilya Indigo (ok), 15-Янв-19, 16:18 | ||
Вот это новость! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
18. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от YetAnotherOnanym (ok), 15-Янв-19, 16:34 | ||
А чо, вполне себе такое родительское поведение со стороны сервера - мне неважно, чего ты хочешь, я знаю, что тебе нужно. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
20. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от КО (?), 15-Янв-19, 23:03 | ||
Сервер как раз так себя не ведет. Но клиент ему доверяет и безоговорочно подчиняется. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
23. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +2 +/– | |
Сообщение от IZh. (?), 16-Янв-19, 10:34 | ||
Фиксить, конечно, надо. Но в целом не настолько смертельно. Часто вы копируете файлы по scp с недоверенных серверов? А как вы самим файлам доверяете, ведь злой серевер мог и их содержимое, в первую очередь, поменять. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
24. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +1 +/– | |
Сообщение от Аноним (24), 16-Янв-19, 22:34 | ||
То есть тебя не беспокоит тот факт, что твой же собственный сервер, но попяченый через какой-нибудь нульдэй, будет подгаживать тебе лоадером какой-нибудь космической хрени тебе в .profile? Ок, чо. | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
25. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от Аноним (25), 17-Янв-19, 11:29 | ||
> То есть тебя не беспокоит тот факт, что твой же собственный сервер, но попяченый через какой-нибудь нульдэй, будет подгаживать тебе лоадером какой-нибудь космической хрени тебе в .profile? Ок, чо. | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
26. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от нах (?), 17-Янв-19, 11:35 | ||
> И к стати, много ли операторов (админов) смотрят на дату (не говорю | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
28. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от Аноним (25), 17-Янв-19, 13:13 | ||
В том то и вопрос! Как поступают профессионалы (истинные параноики ;)? | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
29. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от Andrey Mitrofanov (?), 17-Янв-19, 13:39 | ||
> В том то и вопрос! Как поступают профессионалы (истинные параноики ;)? | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
30. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от Аноним (25), 17-Янв-19, 16:22 | ||
> Сверлят аккумуляторной дрелью ЖДД. В телевизоре ж был а инструкция для начинающих!? | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
31. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от Аноним (25), 17-Янв-19, 16:23 | ||
К стати, что такое ЖДД? | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
32. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от Andrey Mitrofanov (?), 17-Янв-19, 16:28 | ||
> К стати, что такое ЖДД? | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
27. "Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP" | +/– | |
Сообщение от нах (?), 17-Янв-19, 11:39 | ||
> Фиксить, конечно, надо. Но в целом не настолько смертельно. Часто вы копируете | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |