首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
漏洞公告 :: 最新漏洞公告

OpenSSH CBC模式信息泄露漏洞


http://www.gipsky.com/
OpenSSH CBC模式信息泄露漏洞

发布日期:2008-11-14

更新日期:2008-11-18



受影响系统:



OpenSSH OpenSSH 4.7p1

SSH Communications Security Tectia Server 6.x

SSH Communications Security Tectia Server 5.x

SSH Communications Security Tectia Server 4.x



描述:BUGTRAQ ID: 32319



OpenSSH是一种开放源码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下。







如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^{-18},此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14}。



<*来源:Martin Albrecht



链接:http://secunia.com/advisories/32740/

http://secunia.com/advisories/32760/

http://www.ssh.com/company/news/article/953/

http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt

*>



建议:临时解决方法:



* 在SSH会话中仅使用CTR模式加密算法,如AES-CTR。



厂商补丁:



OpenSSH

-------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:







https://downloads.ssh.com/
<< libxml2 xmlBufferResize()函数远程拒绝服务漏洞 vBulletin 3.7.4版本多个SQL注入漏洞 >>
评分
10987654321
API:
gipsky.com & 安信网络

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号