老赵揉搓苏清雅双乳的视频_老头老太性行交视频_老同学3免费集_老师没戴套子C了我一天视频_老师的丰满大乳奶_老师把我添高潮了A片潘金莲

  大多數(shù)Unix與Linux服務(wù)器，都以SSH聯(lián)機，提供管理者遠程管控的機制，因此，若是與SSH聯(lián)機有關(guān)的組件出現(xiàn)漏洞，便可能讓服務(wù)器大開后門，讓任何人對其下達指令。其中，用來作為SSH加密傳輸通信的服務(wù)器組件LibSSH，最近終于推出新版本0.8.4與0.7.6，修補一項存在長達4年之久的漏洞，黑客只要利用這項弱點，就能繞過密碼驗證的程序，取得網(wǎng)站服務(wù)器的管理權(quán)限。

    這項漏洞已列為CVE-2018-10933，影響范圍涉及服務(wù)器的組件，并不會波及客戶端計算機。Red Hat根據(jù)通用漏洞評分系統(tǒng)（CVSS）第3版進行評價，該漏洞的嚴重程度高達9.1分，因此若是服務(wù)器采用了LibSSH 0.6版以上的程序庫，管理員應(yīng)盡速升級到新版本。

    雖然，發(fā)現(xiàn)這項高風(fēng)險弱點的NCC網(wǎng)絡(luò)安全顧問Peter Winter-Smith，從物聯(lián)網(wǎng)搜索引擎Shodan中，找到超過6,000臺服務(wù)器可能遭到波及。不過，許多網(wǎng)站采用的同類型程序庫，像是OpenSSH或LibSSH2等，并不受這個漏洞影響。

    在采用LibSSH的服務(wù)器上，黑客借著上述的漏洞，就能輕易取得管理權(quán)限。簡單來說，攻擊者只要在管理員身份驗證的過程中，將原本客戶端計算機向服務(wù)器發(fā)送請求驗證的信息（SSH2_MSG_USERAUTH_REQUEST），替換成SSH2_MSG_USERAUTH_SUCCESS字符串，就能改為不需要輸入密碼，取得服務(wù)器管理員的權(quán)限，下達任意的遠程指令，發(fā)動攻擊。

    這樣的漏洞雖然危害程度極高，然而采用LibSSH程序庫套件的服務(wù)器數(shù)量，不過OpenSSH普遍，因此，即使直到最近網(wǎng)絡(luò)安全研究員才發(fā)現(xiàn)，這樣的弱點已經(jīng)存在長達4年之久，目前也尚未發(fā)現(xiàn)遭到濫用的情況。

    雖然，還沒有出現(xiàn)因此受到黑客取得控制權(quán)限的服務(wù)器，但是不論是采用LibSSH的企業(yè)，還是服務(wù)器操作系統(tǒng)廠商等，都已相繼確認旗下的軟件或是服務(wù)是否受到影響。

    例如，采用LibSSH的指標性用戶GitHub，便在這套程序庫的漏洞得到修補后，趕緊在推特帳號上發(fā)布聲明，由于該公司使用定制化版本的LibSSH，因此他們的網(wǎng)站，以及GitHub Enterprise都不受影響。

本文來源：安基網(wǎng)