Более 14 миллионов серверов оказались под угрозой из-за «RegreSSHion»
Новый дефектПроблема связана с CVE-2006−5051, ошибки, исправленной в 2006 году, но вновь появившейся в OpenSSH 8.5p1 в октябре 2020 года. Уязвимость затрагивает Linux-системы на базе glibc, использующие конфигурацию OpenSSH по умолчанию. Интересно, что для ее использования не требуется вмешательства пользователя, что представляет значительную угрозу, пишут исследователи.
К уязвимым версиям относятся OpenSSH 8.5p1, вплоть до 9.8p1, но не включая ее. Более старые версии до 4.4p1 также подвержены риску, если не исправлены CVE-2006−5051 и CVE-2008−4109. Отдел исследования угроз Qualys выявил более 14 миллионов потенциально уязвимых серверов, из которых около 700 000 подвержены серьезному риску.
В настоящее время доступно обновление OpenSSH 9.8/9.8p1, но пока не все дистрибутивы Linux приняли его.