В OpenSSH обнаружены две проблемы, которые могут быть опасны для пользователей. Это выявили исследователи из компании Qualys.
Первая проблема связана с ошибкой в коде OpenSSH-клиента, которая позволяет злоумышленнику провести атаку типа «человек посередине», если включена опция VerifyHostKeyDNS. Эта проблема существует в OpenSSH с 2014 года.
Вторая проблема затрагивает как клиент, так и сервер OpenSSH и может вызвать отказ в обслуживании из-за чрезмерного использования ресурсов. Эта проблема появилась в OpenSSH в 2023 году.
Эксперты предупреждают, что использование первой проблемы может привести к компрометации SSH-сессий и несанкционированному доступу к данным. Однако для успешной атаки нужно включить опцию VerifyHostKeyDNS, которая по умолчанию отключена.
Вторая проблема может вызвать недоступность серверов и создать проблемы для администраторов и пользователей. Обе проблемы были устранены в новой версии OpenSSH 9.9p2, которая была выпущена 18 февраля. Разработчики рекомендуют обновить программное обеспечение, чтобы избежать рисков.
Это уже не первый случай обнаружения серьезных проблем в OpenSSH. Ранее компания Qualys нашла другую уязвимость, позволяющую выполнить удаленный код с правами root на системах Linux.
