<samp id="wykdz"><strong id="wykdz"></strong></samp>

    <var id="wykdz"><small id="wykdz"><dfn id="wykdz"></dfn></small></var>

      • 国内精品伊人久久久久影院对白_久久亚洲精品人成综合网_久久国语露脸国产精品电影_国产精品美女久久久M_国产韩国精品一区二区三区久久

        ?
        服務(wù)支持

        寶德提供廠商一站式服務(wù),讓客戶無(wú)后顧之憂,助客戶聚焦核心業(yè)務(wù)

        安全預(yù)警 - 涉及寶德部分產(chǎn)品的OpenSSH遠(yuǎn)程代碼執(zhí)行漏洞

        預(yù)警編號(hào):PowerLeader-sa-20240817-01-server

        初始發(fā)布時(shí)間: 2024-08-17

        更新發(fā)布時(shí)間: 2024-08-17

        漏洞描述

        近日,寶德感知到官方修復(fù)了OpenSSH存在的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,編號(hào)為CVE-2024-6387。該漏洞源于信號(hào)處理程序調(diào)用了非異步信號(hào)安全的函數(shù)導(dǎo)致的,成功的漏洞利用,遠(yuǎn)程且未經(jīng)身份認(rèn)證的攻擊者將能夠以root權(quán)限在目標(biāo)服務(wù)上下文執(zhí)行遠(yuǎn)程代碼。

        OpenSSH 是一種開(kāi)源的實(shí)現(xiàn) Secure Shell (SSH) 協(xié)議的軟件套件,用于在不安全的網(wǎng)絡(luò)中為網(wǎng)絡(luò)服務(wù)提供安全的加密通信方法。SSH 協(xié)議允許用戶通過(guò)加密的通道遠(yuǎn)程登錄到服務(wù)器或執(zhí)行命令,同時(shí)確保數(shù)據(jù)在傳輸過(guò)程中的安全性和完整性。該應(yīng)用使用比較廣泛,建議廣大用戶及時(shí)參考廠商提供的解決方案做好風(fēng)險(xiǎn)排查及防護(hù),避免遭受黑客的攻擊。

        受影響產(chǎn)品版本、影響范圍和修補(bǔ)版本

        產(chǎn)品型號(hào)

        影響范圍

        修補(bǔ)版本

        Ascend HDK

        Ascend HDK 23.0.0

        Ascend HDK 23.0.1

        Ascend HDK 23.0.2.1

        Ascend HDK 23.0.2

        Ascend HDK 23.0.3

        Ascend HDK 23.0.5.1

        Ascend HDK 23.0.5.2

        Ascend HDK 23.0.5

        Ascend HDK 23.0.6.1

        Ascend HDK 23.0.6

        Ascend HDK 23.0.RC1.2

        Ascend HDK 23.0.RC2.2

        Ascend HDK 23.0.RC2.3

        Ascend HDK 23.0.RC2.5

        Ascend HDK 23.0.RC3.1

        Ascend HDK 23.0.RC3.20

        Ascend HDK 23.0.RC3.2

        Ascend HDK 23.0.RC3.3

        Ascend HDK 23.0.RC3.5

        Ascend HDK 23.0.RC3.6

        Ascend HDK 23.0.RC3

        Ascend HDK 24.1.RC1

        Ascend HDK 24.1.RC2

        Atlas 200I A2

        Atlas 200I A2 1.0.21

        Ascend HDK 24.1.RC2

        Atlas 200I SoC A1

        Atlas 200I SoC A1 1.0.21

        Ascend HDK 24.1.RC2

        Atlas 300I A2

        Atlas 300I A2 1.0.RC1

        Ascend HDK 24.1.RC2

        Atlas 300T A2

        Atlas 300T A2 1.0.RC3

        Ascend HDK 24.1.RC2

        Atlas 300T Pro

        Atlas 300T Pro 1.0.21

        Ascend HDK 24.1.RC2

        Atlas 300V

        Atlas 300V 1.0.21

        Ascend HDK 24.1.RC2

        PR420KI G2

        BMC3.10.2.55之前的版本都涉及

        BMC3.10.2.55及以后版本

        PR425KI G2

        BMC3.10.2.55之前的版本都涉及

        BMC3.10.2.55及以后版本

        PR420KI

        BMC3.10.2.27之前的版本都涉及

        BMC3.10.2.27及以后版本

        PR425KI

        BMC3.10.2.27之前的版本都涉及

        BMC3.10.2.27及以后版本

        PR210K

        BMC3.11.00.27之前的版本都涉及

        BMC3.11.00.27及以后版本

        PR210KIVD

        BMC3.11.00.31之前的版本都涉及

        BMC3.11.00.31及以后版本

        PR210KIVE

        BMC3.11.00.31之前的版本都涉及

        BMC3.11.00.31及以后版本

        漏洞影響

        成功利用該漏洞可能導(dǎo)致在目標(biāo)設(shè)備上遠(yuǎn)程執(zhí)行代碼。

        漏洞得分

        漏洞使用CVSSv3.1計(jì)分系統(tǒng)進(jìn)行評(píng)分,詳細(xì)評(píng)分標(biāo)準(zhǔn)請(qǐng)參考:https://www.first.org/cvss/specification-document。

        基礎(chǔ)得分:8.1

        臨時(shí)得分:8.1

        環(huán)境得分:NA

        CVSS v3.1 Vector: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X

        技術(shù)細(xì)節(jié)

        漏洞描述:

        利用漏洞發(fā)起攻擊的預(yù)置條件:

        1. 服務(wù)端啟用OpenSSH服務(wù)

        2. 攻擊者能夠訪問(wèn)SSH服務(wù)使用的端口,默認(rèn)端口為22

        技術(shù)細(xì)節(jié):

        攻擊者發(fā)送特定報(bào)文到目標(biāo)設(shè)備,由于目標(biāo)設(shè)備的OpenSSH服務(wù)的信號(hào)處理中存在條件競(jìng)爭(zhēng)問(wèn)題,導(dǎo)致未經(jīng)身份驗(yàn)證的攻擊者可利用此漏洞在目標(biāo)設(shè)備上遠(yuǎn)程執(zhí)行任意代碼。

        臨時(shí)消減方案

        1. 優(yōu)先通過(guò)防火墻、網(wǎng)絡(luò)拓?fù)涞染W(wǎng)絡(luò)策略阻隔網(wǎng)絡(luò)連接,將openssh服務(wù)端口僅開(kāi)放給白名單可信IP訪問(wèn)。

         2. 可通過(guò)更改OpenSSH(D)的配置,限制LoginGraceTime 0: 在配置文件/etc/ssh/sshd_config 中,增加: LoginGraceTime 0 后重啟ssh服務(wù) 注:LoginGraceTime不設(shè)置(默認(rèn))為120,即當(dāng)用戶登錄ssh時(shí)要求輸入憑證的時(shí)間限制,默認(rèn)120s內(nèi)沒(méi)有輸入則自動(dòng)斷開(kāi)。限制LoginGraceTime 0代表sshd將不對(duì)ssh鏈接進(jìn)行超時(shí)限制。

        版本獲取路徑

        您可以訪問(wèn)寶德官方網(wǎng)站http://szcxy.cn/download_48.html獲取補(bǔ)丁版本,或者通過(guò)寶德400熱線獲取補(bǔ)丁/更新版本。

        漏洞來(lái)源

        外界已公開(kāi)披露。

        更新記錄

        2024-08-17 首次發(fā)布

        寶德安全應(yīng)急響應(yīng)對(duì)外服務(wù)

        寶德一貫主張盡全力保障產(chǎn)品用戶的最終利益,遵循負(fù)責(zé)任的安全事件披露原則,并通過(guò)產(chǎn)品安全問(wèn)題處理機(jī)制處理產(chǎn)品安全問(wèn)題。

        獲取寶德公司安全應(yīng)急響應(yīng)服務(wù)及寶德產(chǎn)品漏洞信息,請(qǐng)?jiān)L問(wèn)

        http://szcxy.cn/service_203.html?cid=203

        反饋寶德產(chǎn)品和解決方案安全問(wèn)題,請(qǐng)反饋至寶德PSIRT郵箱psirt@powerleadercom.cn

        寶德計(jì)算機(jī)售后咨詢熱線:4008-870-872

        寶德PSIRT郵箱:psirt@powerleadercom.cn

        寶德計(jì)算機(jī)官網(wǎng):http://www.powerleadercom.cn


        參考鏈接

        https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

        https://nvd.nist.gov/vuln/detail/CVE-2024-6387

        http://www.openwall.com/lists/oss-security/2024/07/01/12

        http://www.openwall.com/lists/oss-security/2024/07/01/13

        https://github.com/zgzhang/cve-2024-6387-poc

        ? www夜插内射视频网站_久久亚洲精品人成综合网_久久国语露脸国产精品电影_国产精品美女久久久M
        <samp id="wykdz"><strong id="wykdz"></strong></samp>

          <var id="wykdz"><small id="wykdz"><dfn id="wykdz"></dfn></small></var>