OpenBSD-də 4 ciddi sistem boşluğu aşkar edilib

OpenBSD-də 4 ciddi sistem boşluğu aşkar edilib

Code-News
09.12.2019 PAYLAŞIM

    OpenBSD-də 4 ciddi sistem boşluğu aşkar edilərək aradan qaldrılıb. Həmin sistem boşluqlarından 3-ü sistemdəki imtiyazları yüksəltməyə, 1-i isə autentifikasiyadan yan keçməyə imkan verir. Bu barədə Xakep.ru saytı xəbər verib. Sözügedən sistem boşluqları Qualys Research Labs şirkəti tərəfindən aşkar edilib. Şirkət problemlər barəsində məlumatı hələ keçən həftənin sonunda tərtibatçılara məlumat vermişdi. Tərtibatçılar isə öz növbələrində problemləri aradan qaldırmış patchlar hazırlayblar: OpenBSD 6.5OpenBSD 6.6 keçən həftə təqdim olunmuşdu.


    OpenBSD-də aşkar edilmiş 4 sistem boşluğundan ən ciddisi isə CVE-2019-19521 identifikatorlu boşluq olub. Bu boşluq isə autentifikasiyadan yan keçməyə imkan verirdi. Problemin kökü istifadəçinin smtpd, ldapd raiusd vasitəsilə daxil olması zamanı onun təqdim etdiyi username-in OpenBSD tərəfindən necə pars etməsindədir. Beləliklə hacker istifadəçinin adını “-schallenge” və “-schallenge: passwd” şəklində istifadəçinin adını qeyd edərək sistem boşluqlu xidmətləri əldə edə bilirlər.

    Kiberhücum istifadəçi adının əvvəlində “-” simvolundan istifadə zamanı baş verir. Bu üsul isə OpenBSD-ni aldadır və sistem bunu artıq istifadəçi adı kimi deyil, əmr sətri funksiyası hesab edərək S/Key emal prosesinə sorğu kimi qəbul edir. S/Key isə nominal şəkildə dəstəkləndiyi üçün uğurlu şəkildə avtomatik autentifikasiya reallaşdırılır. Aşkar edilmiş digər 3 sistem boşluğu (CVE-2019-19520, CVE-2019-19522CVE-2019-19519)  isə imtiyazların lokal səviyyədə yüksəlməsini əhatə edir. Aşkar edilmiş bütün sistem boşluqları üçün həmçinin PoC exploitlər də təqdim olunublar.

Qeyd: Şərhlərdə nalayiq ifadələr işlətmək, reklam xarakterli mətn paylaşmaq qadağandır.

Şərh yoxdur

Şərh yazmaq üçün daxil olun


DAHA ÇOX


2020-ci ildə məlumatların vizualizasiyası üçün aktual olacaq Top-8 JavaScript ki..

JavaScript-də məlumatları daha gözəl şəkildə təqdim etmək lazımdır?


Microsoft bu il olmuş qeyri adi fişinq kiberhücumlarından danışdı

Bir neçə müddət bundan öncə isə Microsoft şirkəti kiberhücumlar və malware-lar üzrə trendləri əks et..


Microsoft Windows-da 0-day boşluğu da daxil olmaqla 7 kritik sistem boşluğu arad..

Microsoft şirkəti bu ay təqdim etmiş olduğu yenilənmələr ilə öz sistemlərində 36 boşluğu aradan qald..


Microsoft Teams platformasının Linux versiyası təqdim edildi

Microsoft şirkəti Microsoft Teams platformasının Linux versiyasını təqdim edib.


Sadə tətbiqlərin müxtəlif proqramlaşdırma dillərindəki test nəticələri təqdim ed..

Assembler x86_64-də HeavyThing adlı azad kitabxananı reallaşdırmış müəllif Jeff Marrison “Assembler-..


StackOverflow-dakı ən məşhur Java kod nümunəsi səhv imiş

StackOverflow-da qeyd edilmiş ən məşhur Java kod nümunəsi müəyyən şərtlərdə düzgün olmayan nəticələr..

×