Для OpenSSH реализована поддержка изоляции на этапе до начала аутентификации


Рубрика: Новости Linux
Метки:
Просмотров: 4372

Для защиты от возможных ошибок в сторонних модулях аутентификации (к примеру, удаленная root-уязвимость 8 ч/з OPENSSH в старых версиях FREEBSD из-за ошибки в libopie), разработчики OPENBSD реализовали новый режим изоляции "USEPRIVILEGESEPARATION=sandbox", работающий на стадии до начала аутентификации и сброса привилегий.

Пока способ работает лишь в OPENBSD и использует систему systrace для ограничения количества допустимых системных вызовов. В будущих выпусках OPENBSD представленная опция будет использована изначально. При использовании данной защиты в случае поражения ч/з уязвимость в OPENSSH злоумышленник не сумеет организовать атаку на локальную систему (к примеру, эксплуатировать локальную уязвимость в ядре) и иные хосты (сделать сокет, запустить прокси и т.п.).