99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源


【漏洞預(yù)警】OpenSSH現(xiàn)中危漏洞,可致遠程代碼執(zhí)行

2016-12-23 13:35:27 漏洞播報 0個評論

本文原創(chuàng)作者:

來源:FreeBuf.COM

14822994312363

漏洞編號

CVE-2016-10009

漏洞等級

中危

漏洞影響

OpenSSH 7.3及以下版本

漏洞描述

漏洞出現(xiàn)ssh-agent中,這個進程默認不啟動、只在多主機間免密碼登錄時才會用到。sshd 服務(wù)器可以利用轉(zhuǎn)發(fā)的 agent-socket 文件欺騙本機的 ssh-agent 在受信任的白名單路徑以外加載一個惡意 PKCS#11 模塊,任意執(zhí)行代碼。換句話說,是惡意服務(wù)器在客戶端的機器上遠程執(zhí)行代碼。

這個漏洞的利用條件是比較嚴苛的,要求攻擊者控制轉(zhuǎn)發(fā)agent-socket,而且需要有主機文件系統(tǒng)寫權(quán)限。所以官方把該漏洞等級評為中危?;贠penSSH龐大的用戶量,可能有少部分主機會受此影響。

1482298717833

漏洞修復(fù)

實際上僅允許加載受信任白名單的模塊,即可解決問題。OpenSSH官方已于12月19日發(fā)布7.4版本的OpenSSH,修復(fù)了包括CVE-2016-10009在內(nèi)的多個漏洞。Ubuntu、Debian等平臺也已經(jīng)更新了程序。請大家及時到最新版本。

14822986381168

原文地址:http://www.freebuf.com/news/123614.html

上一篇
下一篇

聯(lián)系我們:cert@chaosec.com