Информационная безопасность является одним из ключевых аспектов в современном мире цифровых технологий. Для обеспечения шифрования сеансов связи по компьютерным сетям с использованием протокола SSH командой OpenBSD был разработан OpenSSH (Открытый безопасный Shell) как открытая альтернатива закрытого Secure Shell software. Разработчики OpenSSH утверждают, что он более безопасен, чем оригинальный Secure Shell, благодаря их политике чистки и аудита кода. Хотя код доступен для оригинального SSH, различные ограничения, накладываемые на его использование, делают OpenSSH более привлекательным проектом для большинства программистов.
Недавно специалисты по информационной безопасности сообщили о новой уязвимости, обнаруженной в пакетах OpenSSH, входящих в состав Red Hat Enterprise Linux 9 (RHEL 9), которая получила обозначение CVE-2024-6409. Она отличается от ранее выявленной regreSSHion и позволяет злоумышленникам выполнять код на удалённом сервере без прохождения аутентификации. Уязвимость также затрагивает пакеты для Fedora Linux 36 и 37.
Для устранения уязвимости в конфигурации sshd (sshd_config) рекомендуется установить параметр LoginGraceTime в 0. Этот метод блокирует уязвимость, несмотря на то, что стандартные способы защиты, такие как использование опции «-e» для отключения вывода логов через syslog, неэффективны. Также рекомендуется оперативно обновить пакеты OpenSSH на всех затронутых системах и принять меры по усилению мониторинга и обнаружения аномального поведения в сети, чтобы своевременно выявлять попытки атак и предотвращать утечку данных.
Как можно заметить, даже исправление программных недостатков, преследующее благие цели, порой может привести к непредвиденным последствиям для безопасности других элементов системы. Этот случай наглядно показывает важность тщательного тестирования любых модификаций, особенно в критически важных компонентах ОС. Поддержание баланса между специфическими требованиями и общей безопасностью остаётся сложной, но необходимой задачей в мире информационных технологий.
