漏洞深度分析|Apache MINA SSHD反序列化漏洞

最新推荐文章于 2024-07-24 14:31:27 发布
最新推荐文章于 2024-07-24 14:31:27 发布
阅读量1k 收藏
点赞数
分类专栏: 漏洞深度分析 文章标签: 开源 开源漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/127928319
版权

项目介绍

Apache MINA SSHD 是一个 100% 纯 java 库,支持客户端和服务器端的 SSH 协议。它的目的不是要替代 Unix 操作系统中的 SSH 客户端或 SSH 服务器,而是为需要 SSH 支持的基于 Java 的应用程序提供支持。

该库可以利用多个 I/O 后端:

  • 内置默认传输,使用 Java 的AsynchronousSocketChannels.
  • Apache MINA是一种可扩展的高性能异步 I/O 库,可以替代使用,或者
  • 还支持 Netty 异步事件驱动网络框架

项目地址

GitHub - apache/mina-sshd: Apache MINA sshd is a comprehensive Java library for client- and server-side SSH.

漏洞概述

Apache MINA SSHD <= 2.9.1 中的类 org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider 使用 Java 反序列化加载序列化的 java.security.PrivateKey。该类是使用 Apache MINA SSHD 的实现者可以选择的几种实现之一,用于加载 SSH 服务器的主机密钥。

影响版本

org.apache.sshd:sshd-common@(-∞, 2.9.2)

环境搭建

下载部署即可

Release sshd-2.9.1 · apache/mina-sshd · GitHub

漏洞分析

根据漏洞分析可知source点为 SimpleGeneratorHostKeyProvider#doReadKeyPairs

 

该函数调用readobject对SSH密钥进行反序列化,通过补丁信息可交叉印证。

 

反序列化后可以通过AbstractGeneratorHostKeyProvider#writeKeyPair 进一步获取ssh秘钥

控制流如下所示

 

新版本完善对传入 keypair 变量的反序列化方式,使用Collections.singletonList来进行校验,并且

 

配置允许访问的白名单类

 

同时增加了对 keypath 是否存在及权限的校验,

 

由此可明确该漏洞因 writeKeyPair 未对传入keypath 进行校验从而导致不安全的反序列化。

修复方式

对于 Apache MINA SSHD <= 2.9.1,不要使用 org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider 来生成和稍后加载服务器的主机密钥。使用单独生成的主机密钥文件,例如 OpenSSH 格式,并通过 org.apache.sshd.common.keyprovider.FileKeyPairProvider 加载它们。或者使用自定义实现而不是使用 OpenSSH 格式存储和加载主机密钥的 SimpleGeneratorHostKeyProvider(通过类 OpenSSHKeyPairResourceWriter 和 OpenSSHKeyPairResourceParser)

参考链接

CVE-2022-45047 - CVE.report
NVD - CVE-2022-45047
Better file handling for host keys · apache/mina-sshd@5a8fe83 · GitHub
[SSHD-1297] Provide KeyUtils.loadPublicKey() · apache/mina-sshd@63952e7 · GitHub

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mina-sshd:Apache MINA SSHD的镜像
04-29
Apache MINA SSHD Apache SSHD是100%纯Java库,可在客户端和服务器端均支持SSH协议。 该库可以利用这个可扩展的高性能异步IO库。 SSHD并非真正旨在代替Unix操作系统中的SSH客户端或SSH服务器,而是为需要SSH支持的...
apache Mina SSHD 修改版
03-31
Apache MINA SSHD(Secure Shell Daemon)是Apache MINA项目的一部分,它是一个开源的Java实现的SSH服务器和客户端框架。这个“修改版”可能是指针对原版MINA SSHD进行了一些定制化或优化的工作,以适应特定的需求...
漏洞预警|Apache MINA SSHD反序列化漏洞
LJQClqjc的博客
11-17 965
近日网上有关于开源项目Apache MINA SSHD反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
蓝易云 - SshClient应用指南:使用org.apache.sshd库在服务器中执行命令。
高性价比服务器就选:蓝易云
06-11 329
Apache SSHD库是一个用Java编写的、授权给Apache的100%纯SSH服务器,你可以通过它来完成在服务器中执行命令的需求。下面我将以一个简单的应用指南来介绍如何使用org.apache.sshd库在服务器中执行命令。
漏洞预警】Apache Dubbo反序列化漏洞及修复方案
讯开技术孵化器博客
07-01 2649
漏洞描述 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),官方发布2.7.7版本修复漏洞,但近日该漏洞补丁被绕过,经阿里云工程师测试绕过有效,且目前官方还未发布新版本,漏洞属0day级,风险极大。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。 2020年6月29日,阿里云应急响应中心监测到Apache Du
Apache Mina SSHD 和 JSch
haiyangyiba的专栏
11-29 1096
最近写了7篇关于Java操作远程服务器文件的上传下载和远程服务器命令执行的相关文章,主要使用到了Apache Mina SSHD 和 JSch 两个组件,更多文章细节实现参考:JSch实践(一)简介和远程文件的操作JSch实践(二)使用Exec执行远程命令JSch实践(三)使用Shell执行远程命令SSHD实践(一)简介和远程文件的操作SSHD实践(二)基于文件系统操作远程文件SSHD实践(三)使用Exec执行远程命令SSHD实践(四)使用Shell执行远程命令
Apache MINA SSHD
m0_37559973的博客
04-09 824
Apache MINA SSHD(Secure Shell Daemon)是基于Apache MINA(Multipurpose Infrastructure for Network Applications)开发的一个开源的Java库,专门用于提供SSH(Secure Shell)服务。
java Mina sftp,如何使用Java中的Apache Mina SSHD SFTP服务器处理传入文件
weixin_42510140的博客
02-13 782
Currently i am working on a SFTP protocol.I have created SFTP client Using Jsch Library and SFTP Server using Apache Mina Sshd library.I have made connection between them and can successfully send fil...
基于apache mina 实现ssh客户端
u011849297的博客
08-11 1885
代码】基于apache mina 实现ssh客户端。
apache mina实现sftp的文件上传与权限修改功能
kingyal
08-21 1344
apache mina sftp sshd
SpringBoot:使用Apache SSHD搭建基于JAVA的SFTP服务器
Oxye
05-23 4316
依赖 服务器端 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </dependency> <dependency> <groupId>org.springfram
基于mina-sshd实现sftp client端的文件操作
Dream - to be coder
07-16 1584
参见本人博客,懒得写两遍
apache-mina-2.0.4.rar_apache mina_mina
09-20
对于希望提高网络应用性能或熟悉Java NIO编程的开发者来说,Apache Mina 2.0.4的源码分析是一次宝贵的学习机会。你可以通过阅读源码学习到如何有效地处理高并发场景,如何设计和实现高效的网络协议,以及如何利用...
Apache_Mina.zip_apache_mina
09-24
Apache Mina是一个高性能、异步事件驱动的网络通信框架,主要用在开发网络应用服务器,如FTP、SMTP、NNTP等协议服务器。本教程“深入理解Apache Mina”将帮助我们深入了解这一强大的Java库。 Apache Mina的核心理念...
Apache Mina核心jar包:mina-core-2.0.7
12-07
Apache MINAApache 组织一个较新的项目,它为开发高性能和高可用性的网络应用程序提供了非常便利的框架。 当前发行的 MINA 版本支持基于 Java NIO 技术的 TCP/UDP 应用程序开发、串口通讯程序(只在最新的预览版...
开源消息队列比较
AngelCryToo的专栏
07-24 1043
Apache Kafka、RabbitMQ、Apache ActiveMQ、Redis (with Redis Streams) 、NATS、Apache Pulsar、ZeroMQ、Apache RocketMQ、NSQ、Kafka Streams等消息队列漫谈
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
【JCR一区级】麻雀搜索算法SSA-CNN-LSTM-Attention故障诊断分类预测【含源码 5689期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Attention分类系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Attention分类 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Attention分类 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Attention分类 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Attention分类 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Attention分类
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值