BUGTRAQ ID: 32319
OpenSSH是一种开放源码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下。
如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^{-18},此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14}。
OpenSSH OpenSSH 4.7p1
SSH Communications Security Tectia Server 6.x
SSH Communications Security Tectia Server 5.x
SSH Communications Security Tectia Server 4.x
临时解决方法:
* 在SSH会话中仅使用CTR模式加密算法,如AES-CTR。
厂商补丁:
OpenSSH
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=https://downloads.ssh.com/ target=_blank>https://downloads.ssh.com/</a>
京公网安备 11010502034610号
暂无评论