Qualys huet e Wee fonnt fir Malloc an duebelfräie Schutz ëmzegoen fir en Iwwerweisung vu Kontroll op Code ze initiéieren, mat enger Schwachstelle an OpenSSH 9.1 déi bestëmmt gouf fir e nidderegen Risiko ze hunn fir e funktionnéierend Exploit ze kreéieren. Zur selwechter Zäit bleift d'Méiglechkeet fir en Aarbechtsexploit ze kreéieren eng grouss Fro.
D'Schwachheet gëtt duerch eng Pre-Authentifikatioun duebel fräi verursaacht. Fir Konditioune fir d'Schwachheet ze manifestéieren, ass et genuch fir den SSH Client Banner op "SSH-2.0-FuTTYSH_9.1p1" (oder en aneren alen SSH Client) z'änneren fir d'Fändelen "SSH_BUG_CURVE25519PAD" an "SSH_OLD_DHGEX" ze setzen. Nodeems Dir dës Fändelen gesat huet, gëtt d'Erënnerung fir den "options.kex_algorithms" Puffer zweemol befreit.
Fuerscher vu Qualys, wärend der Schwachstelle manipuléiert, konnten d'Kontroll iwwer de "%rip" Prozessorregister kréien, deen e Pointer op déi nächst Instruktioun enthält fir auszeféieren. Déi entwéckelt Ausbeutungstechnik erlaabt Iech d'Kontroll op all Punkt am Adressraum vum sshd-Prozess an engem onaktéierten OpenBSD 7.2 Ëmfeld ze transferéieren, mat Standard mat OpenSSH 9.1 geliwwert.
Et gëtt bemierkt datt de proposéierte Prototyp eng Ëmsetzung vun nëmmen der éischter Stuf vum Attack ass - fir e funktionnéierend Ausbeutung ze kreéieren ass et néideg, d'ASLR, NX an ROP Schutzmechanismen z'entgoen an d'Sandkëschtisolatioun z'entkommen, wat onwahrscheinlech ass. Fir de Problem vum Contournement vun ASLR, NX a ROP ze léisen, ass et néideg Informatiounen iwwer Adressen ze kréien, déi erreecht kënne ginn andeems Dir eng aner Schwachstelle identifizéiert, déi zu Informatiounsleckage féiert. E Käfer am privilegiéierten Elterendeel oder Kernel kann hëllefen aus der Sandkëscht erauszekommen.
Source: opennet.ru