Обнал сервис MoneyTeam wwh PolisBlank
Взлом ВК
hacknet Продажа, изготовление водительских удостоверений (нового и старого образца)
hacknet

СМИ Уязвимость в OpenSSH позволяет раскрыть имена пользователей

Тема в разделе "Новости СМИ", создана пользователем Marck, 18/7/16.

  1. TopicStarter Overlay
    Marck

    Marck Ветеран Модератор Проверенный продавец

    Написать в ЛС
    Последняя активность:
    09.12.16
    Регистрация:
    23/8/15
    Сообщения:
    628
    Симпатии:
    282
    Сделок через ГС (Offelia):
    3
    Депозит:
    Проблема возникла из-за того, что алгоритм Blowfish работает быстрее SHA256/SHA512.

    В OpenSSH выявлена уязвимость, позволяющая злоумышленнику вычислять реального пользователя в системе. Проблема затрагивает большинство современных конфигураций, так как вычисление хэш SHA256/SHA512 занимает больше времени, чем хэш BLOWFISH. Это позволяет по времени выполнения операции определить применялся алгоритм BLOWFISH или SHA256/SHA512 и узнать, существует ли пользователь в системе.

    Уязвимость еще не исправлена, однако обнаруживший ошибку ИБ-специалист из Verint Эдди Харари (Eddie Harari) отметил, что разработчик OpenSSH Даррен Такер (Darren Tucker) в курсе о проблеме и уже работает над ее решением.

    При отправке пользовательского ID с длинным, но неправильным паролем (10 килобайт) на OpenSSH сервер, сервер быстрее ответит несуществующим пользователям и медленнее реальным. «Когда SSHD пытается проверить подлинность несуществующего пользователя, он выберет поддельную структуру пароля, жестко зашифрованную в исходном коде SSHD. В этой жестко зашифрованной структуре хэш пароля основан на алгоритме BLOWFISH. Получается, на пароль реального пользователя, использующего хэш SHA256/SHA512, сервер отреагирует медленнее, чем на длинный поддельный пароль (10Кб)», - пишет Харари.

    Если злоумышленник сможет вычислить SSH пользовательского ID, следующим шагом будет его проверка в списке раннее скомпрометированных ID и паролей.
     
    praid нравится это.
  2. Инфо. Бот Администратор

    Просьба ознакомиться с основными правилами проекта Читать.
    В сети полно мошенников, которые умело могут Вас развести и завладеть вашими денежными средствами.
    Для безопасности сделок рекомендуем пользоваться услугами Гарант сервиса.
     
Big.Bob