Для OpenSSH реализована поддержка изоляции на этапе до начала аутентификации


Рубрика: Новости Linux
Метки:
Просмотров: 3047

Для защиты от возможных ошибок в сторонних модулях аутентификации (к примеру, удаленная root-уязвимость 5 ч/з OPENSSH в старых версиях FREEBSD из-за ошибки в libopie), разработчики OPENBSD реализовали новый режим изоляции "USEPRIVILEGESEPARATION=sandbox", работающий на стадии до начала аутентификации и сброса привилегий.

Пока способ работает лишь в OPENBSD и использует систему systrace для ограничения количества допустимых системных вызовов. В будущих выпусках OPENBSD представленная опция будет использована изначально. При использовании данной защиты в случае поражения ч/з уязвимость в OPENSSH злоумышленник не сумеет организовать атаку на локальную систему (к примеру, эксплуатировать локальную уязвимость в ядре) и иные хосты (сделать сокет, запустить прокси и т.п.).


  • Комментариев: 0

  • Вконтакте

  • Facebook:

    Оставьте комментарий!

    grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

    Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

    Имя и сайт используются только при регистрации

    Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

    Авторизация 

    MaxSiteAuth.

    (обязательно)