Возврат
ТелекомВести

25 июля 2001 г.Следующая новость



Брешь в системе защиты Unix-систем


24 июля ("Телеком-Форум")

Разработчик популярной оболочки Secure Shell (SSH) финская компания SSH Communications Security объявила об обнаружении "дырки" в данном программном продукте, которое используется для удаленного администрирования машин на базе различных вариантов платформы Unix. Ошибка в системе защиты SSH версии 3.0.0 позволяет хакерам получить полный контроль как над серверами, так и рабочими станциями, с установленными ОС Solaris, HP-UX, а также версиями Linux компаний Red Hat, Caldera Systems, SuSE Linux и других.

Проблема связана с процедурой прохождения авторизации пользователей. Если в определенной учетной записи пароль состоит из двух и менее символов, то в результате внутренней ошибки SSH позволяет получить доступ к удаленной машине вообще без ввода пароля. Такие учетные записи, устанавливаемые по умолчанию при инсталляции ОС, имеют стандартные имена пользователей (login) и пароли (стоит отметить, что доступ к ним обычно осуществляется локально). Хотя пароли из двух символов довольно редко встречаются у обычных пользователей, системные администраторы иногда используют их для управления некоторыми специфическими функциями (например, для администрирования принтеров).

По словам менеджера по продуктам финской фирмы Янне Саарикко, таким учетным записям обычно назначаются ограниченные права, однако для хакера не составит большого труда удалить их, получить доступ к корневому каталогу системы и, в конечном итоге, ко всей машине. Специалисты по компьютерной безопасности SSH Communications Security расценивают обнаруженную брешь, как "серьезную" и рекомендуют установить обновленную версию 3.0.1, которую можно скачать с Web-узла разработчика.

По данным разработчика, приложение SSH для платформы Unix, призванное заменить такие терминальные программы, как telnet, rlogin, rsh, rcp и rdist, стала стандартом де-факто для безопасного удаленного администрирования машин. Высокую популярность продукту придало его бесплатное распространение для образовательных учреждений и для использования в некоммерческих целях. Стоит отметить, что число подверженных нападению машин, вероятно, невелико, т.к. "продырявленная" версия вышла всего лишь 21 июня этого года.

SSH Communications Security

http://www.ssh.com

Дополнительная информация

Новое поколение Internet-червей уже поразило 12 тыс. Web-сайтов (23 июля 2001 г.)

И Solaris не без греха (25 июня 2001 г.)

Брешь в серверном ПО Microsoft (22 июня 2001 г.)