OpenSSH釋出了新版本客戶端, 修正了一個(gè)會(huì)泄露私鑰的高危漏洞。漏洞存在于終端用戶使用版本中,不影響服務(wù)器使用的版本,漏洞影響OpenSSH v5.4到7.1,與一個(gè)默認(rèn)啟用的實(shí)驗(yàn)性漫游功能代碼有關(guān),它允許一臺(tái)惡意配置的服務(wù)器利用漏洞訪問(wèn)聯(lián)網(wǎng)計(jì)算機(jī)的內(nèi)存內(nèi)容,獲取用戶用于SSH連接的私鑰。
根據(jù)SSH的設(shè)計(jì),用戶即使連接了一個(gè)惡意的主機(jī),主機(jī)也只知道你的公鑰而不知道你使用的私鑰。但這個(gè)漏洞讓惡意主機(jī)可以竊取私鑰,然后攻擊者可以利用竊取到的密鑰對(duì)滲透到用戶的其他網(wǎng)絡(luò)設(shè)施。安全研究人員警告這個(gè)漏洞可能已被利用,OpenSSH推薦用戶立即更新。
京公網(wǎng)安備 11010502049343號(hào)