国产久久久精品一区二区,国内精品一区偷拍

產(chǎn)品公告

安全預(yù)警 - 涉及寶德部分產(chǎn)品的OpenSSH遠(yuǎn)程代碼執(zhí)行漏洞安全預(yù)警-涉及寶德部分服務(wù)器產(chǎn)品的權(quán)限提升漏洞安全預(yù)警-寶德服務(wù)器產(chǎn)品存在弱算法安全漏洞安全預(yù)警-寶德服務(wù)器產(chǎn)品HMM軟件的IPMICommand命令中的越權(quán)漏洞安全預(yù)警 - 涉及寶德部分服務(wù)器產(chǎn)品的JSON注入漏洞安全預(yù)警 - 涉及寶德部分產(chǎn)品的資源管理錯誤漏洞安全預(yù)警 - 寶德服務(wù)器的暴力破解漏洞安全預(yù)警 - 寶德部分服務(wù)器產(chǎn)品存在信息泄露漏洞安全公告-麒麟系統(tǒng)python3安全漏洞安全公告-麒麟系統(tǒng)libyaml安全漏洞安全公告-麒麟系統(tǒng)libde265安全漏洞安全公告-麒麟系統(tǒng)gtk2安全漏洞安全公告-關(guān)于Ubuntu Kernel 組件存在本地特權(quán)提升漏洞的聲明安全公告-關(guān)于openEuler系統(tǒng)的zziplib的更新安全公告-關(guān)于openEuler-24.03-LTS的unixODBC的更新

安全預(yù)警 - 涉及寶德部分產(chǎn)品的OpenSSH遠(yuǎn)程代碼執(zhí)行漏洞

預(yù)警編號：PowerLeader-sa-20240817-01-server

初始發(fā)布時間： 2024-08-17

更新發(fā)布時間： 2024-08-17

漏洞描述

近日，寶德感知到官方修復(fù)了OpenSSH存在的一個遠(yuǎn)程代碼執(zhí)行漏洞，編號為CVE-2024-6387。該漏洞源于信號處理程序調(diào)用了非異步信號安全的函數(shù)導(dǎo)致的，成功的漏洞利用，遠(yuǎn)程且未經(jīng)身份認(rèn)證的攻擊者將能夠以root權(quán)限在目標(biāo)服務(wù)上下文執(zhí)行遠(yuǎn)程代碼。

OpenSSH 是一種開源的實現(xiàn) Secure Shell (SSH) 協(xié)議的軟件套件，用于在不安全的網(wǎng)絡(luò)中為網(wǎng)絡(luò)服務(wù)提供安全的加密通信方法。SSH 協(xié)議允許用戶通過加密的通道遠(yuǎn)程登錄到服務(wù)器或執(zhí)行命令，同時確保數(shù)據(jù)在傳輸過程中的安全性和完整性。該應(yīng)用使用比較廣泛，建議廣大用戶及時參考廠商提供的解決方案做好風(fēng)險排查及防護(hù)，避免遭受黑客的攻擊。

受影響產(chǎn)品版本、影響范圍和修補(bǔ)版本

產(chǎn)品型號	影響范圍	修補(bǔ)版本
Ascend HDK	Ascend HDK 23.0.0 Ascend HDK 23.0.1 Ascend HDK 23.0.2.1 Ascend HDK 23.0.2 Ascend HDK 23.0.3 Ascend HDK 23.0.5.1 Ascend HDK 23.0.5.2 Ascend HDK 23.0.5 Ascend HDK 23.0.6.1 Ascend HDK 23.0.6 Ascend HDK 23.0.RC1.2 Ascend HDK 23.0.RC2.2 Ascend HDK 23.0.RC2.3 Ascend HDK 23.0.RC2.5 Ascend HDK 23.0.RC3.1 Ascend HDK 23.0.RC3.20 Ascend HDK 23.0.RC3.2 Ascend HDK 23.0.RC3.3 Ascend HDK 23.0.RC3.5 Ascend HDK 23.0.RC3.6 Ascend HDK 23.0.RC3 Ascend HDK 24.1.RC1	Ascend HDK 24.1.RC2
Atlas 200I A2	Atlas 200I A2 1.0.21	Ascend HDK 24.1.RC2
Atlas 200I SoC A1	Atlas 200I SoC A1 1.0.21	Ascend HDK 24.1.RC2
Atlas 300I A2	Atlas 300I A2 1.0.RC1	Ascend HDK 24.1.RC2
Atlas 300T A2	Atlas 300T A2 1.0.RC3	Ascend HDK 24.1.RC2
Atlas 300T Pro	Atlas 300T Pro 1.0.21	Ascend HDK 24.1.RC2
Atlas 300V	Atlas 300V 1.0.21	Ascend HDK 24.1.RC2
PR420KI G2	BMC：3.10.2.55之前的版本都涉及	BMC：3.10.2.55及以后版本
PR425KI G2	BMC：3.10.2.55之前的版本都涉及	BMC：3.10.2.55及以后版本
PR420KI	BMC：3.10.2.27之前的版本都涉及	BMC：3.10.2.27及以后版本
PR425KI	BMC：3.10.2.27之前的版本都涉及	BMC：3.10.2.27及以后版本
PR210K	BMC：3.11.00.27之前的版本都涉及	BMC：3.11.00.27及以后版本
PR210KI（VD）	BMC：3.11.00.31之前的版本都涉及	BMC：3.11.00.31及以后版本
PR210KI（VE）	BMC：3.11.00.31之前的版本都涉及	BMC：3.11.00.31及以后版本

漏洞影響

成功利用該漏洞可能導(dǎo)致在目標(biāo)設(shè)備上遠(yuǎn)程執(zhí)行代碼。

漏洞得分

漏洞使用CVSSv3.1計分系統(tǒng)進(jìn)行評分，詳細(xì)評分標(biāo)準(zhǔn)請參考：https://www.first.org/cvss/specification-document。

基礎(chǔ)得分：8.1

臨時得分：8.1

環(huán)境得分：NA

CVSS v3.1 Vector: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X

技術(shù)細(xì)節(jié)

漏洞描述：

利用漏洞發(fā)起攻擊的預(yù)置條件:

1. 服務(wù)端啟用OpenSSH服務(wù)

2. 攻擊者能夠訪問SSH服務(wù)使用的端口，默認(rèn)端口為22

技術(shù)細(xì)節(jié):

攻擊者發(fā)送特定報文到目標(biāo)設(shè)備，由于目標(biāo)設(shè)備的OpenSSH服務(wù)的信號處理中存在條件競爭問題，導(dǎo)致未經(jīng)身份驗證的攻擊者可利用此漏洞在目標(biāo)設(shè)備上遠(yuǎn)程執(zhí)行任意代碼。

臨時消減方案

1. 優(yōu)先通過防火墻、網(wǎng)絡(luò)拓?fù)涞染W(wǎng)絡(luò)策略阻隔網(wǎng)絡(luò)連接，將openssh服務(wù)端口僅開放給白名單可信IP訪問。

2. 可通過更改OpenSSH(D)的配置，限制LoginGraceTime 為 0：在配置文件/etc/ssh/sshd_config 中，增加： LoginGraceTime 0 后重啟ssh服務(wù) 注：LoginGraceTime不設(shè)置（默認(rèn)）為120，即當(dāng)用戶登錄ssh時要求輸入憑證的時間限制，默認(rèn)120s內(nèi)沒有輸入則自動斷開。限制LoginGraceTime 為 0代表sshd將不對ssh鏈接進(jìn)行超時限制。