查看openssh版本_OpenSSH命令注入漏洞复现(CVE202015778)

最新推荐文章于 2024-04-21 08:16:06 发布
最新推荐文章于 2024-04-21 08:16:06 发布
阅读量1.5k 收藏 1
点赞数
文章标签: 查看openssh版本
OpenSSH命令注入漏洞复现(CVE-2020-15778) 114462af14dbd85b43b6bae6e6d3fba1.png

目录

漏洞描述

漏洞等级

漏洞影响版本

漏洞复现

修复建议

b0386aeb7a44222eeaed6dbcce455d75.png

▶漏洞描述

     OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。

    2020年6月9日,研究人员Chinmay Pandya在Openssh中发现了一个漏洞,于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。

▶漏洞等级

高危

▶漏洞影响版本

OpenSSH <=8.3p1

▶漏洞复现

   scp 是 secure copy 的缩写。在linux系统中,scp用于linux之间复制文件和目录,基于 ssh 登陆进行安全的远程文件拷贝命令。该命令由openssh的scp.c及其他相关代码实现。

  • 攻击机:Kali

  • 靶机:Centos7(192.168.10.129)

#意思是复制当前目录下的test.txt到目标的/tmp目录下,并且执行 touch /tmp/test.sh 的命令scp / test.txt root@192.168.10.129:'`touch /tmp/test.sh`/tmp'

0d545ad3d06579b84bef27d46f528d19.png

276e2decdbc3153ea7dd43a8b3dd547b.png

▶修复建议

输入以下命令查看openssh版本,如显示的版本号属于受影响的版本,则漏洞存在。

ssh -V

e5a206d28f13db3ef60be4ec6aed0834.png

修复方案

  官方尚未发布安全更新补丁,请密切关注厂商主页获取解决办法:http://www.openssh.com/portable.html

参考文章:OpenSSH 命令注入漏洞通告(CVE-2020-15778)

f89c1745f6beb48895f9c96043e166a0.png

weixin_39707536
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-15778 OpenSSH命令注入漏洞
qq_48257021的博客
03-26 1006
OpenSSH是 SSH(Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制,或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、rcpftp、rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。
OpenSSH 命令注入漏洞(CVE-2020-15778)
gjgj的博客
06-18 9221
OpenSSH命令注入漏洞复现 1、简介 OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现,ssh主要就是用来远程控制计算机,或传输文件,OpenSSH是使用SSH透过计算机网络加密通讯的实现。 2、漏洞概述 该漏洞是存在于scp在拷贝文件时产生的一个代码注入漏洞,攻击者可以利用此漏洞执行任意命令,比如:反弹shell, 3、影响版本 openssh <= openssh-8.3p1 1 4、实验环境 首先下载openssh版本要符合漏洞影响的版本 服务端:apt-g
OpenSSH缺陷允许攻击者远程利用/非法执行任意代码
【GTA: Vice City】
08-29 1389
涉及程序: OpenSSH versions 2.3.1p1 ~ 3.3 描述: OpenSSH缺陷允许攻击者远程利用/非法执行任意代码(更新) 详细: 在OpenSSH 2.3.1p1到3.3版本中,关于挑战反应处理代码存在安全性缺陷。允许远程入侵者以sshd(通常是root)进程的身份执行任意指令。第一个缺陷是因为在挑战反应认证过程中,OpenSSH在处理关于收到的响应次数的变量上存在
windows openssh 查看版本
最新发布
zengliguang的专栏
04-21 392
通过上述命令,您就可以快速了解到您系统上安装的OpenSSH客户端的版本信息。如果您还需要查看服务器端的OpenSSH版本(如果权限允许),则需在具有相应访问权限的远程服务器上执行相同的命令。,表示查询版本信息。条输出表明您正在使用的OpenSSH版本为。
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级opensshOpenSSH8.4 修复openssh版本漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
openssh-9.6.tar.gz版本,最新版本修复openssh命令注入漏洞
01-17
openssh-9.6.tar.gz版本,最新版本修复openssh命令注入漏洞OpenSSH是使用SSH协议进行远程登录的首要连接工具。它对所有流量进行加密,以消除窃听、连接劫持和其他攻击。此外,OpenSSH提供了一大套安全隧道功能、几...
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x install.sh 命令,然后执行./install.sh即可 如果遇到该问题openssh Your OpenSSL headers do not match your library. vi /etc/ld.so.conf 注释该行 #/usr/local/ssl/lib
OpenSSH命令注入漏洞(CVE-2020-15778)
热门推荐
qq_42947816的博客
02-09 2万+
一般在特定环境下利用,比如在知道SSH账户密码后,但禁用SSH登陆或SSH连接被阻止,服务器允许使用scp传文件的情况下,可对其进行命令注入,所以如果攻击者不知道ssh账密,此漏洞无法利用。
【Linux】OpenSSH 命令注入漏洞(CVE-2020-15778)(iptables屏蔽22端口方式)
实施工程师从入门到放弃
11-29 1935
操作过程中要边操作边验证,切记不要关闭已打开的窗口,保持开启,即使操作错误了,这个窗口也不会自动断开,还可以自行修复,否则就无法连接,直接找人吧。这就没辙了,只能限制服务器端口访问了,但是服务器不是我方管的,只能审慎执行命令,不然登不上去了还得找别人给帮忙处理。这个命令就是删除iptables -L列出的命令,后面数字为L列出来的顺序,建议从下往上删,绿盟扫出来的漏洞,但是禁用scp漏洞复扫还是有这个漏洞,查询版本SSH版本也是没问题的。验证1022端口是否可连接,可以的话回到上一步。
OpenSSH 命令注入漏洞复现(CVE-2020-15778)
weixin_47230336的博客
09-14 591
OpenSSH 命令注入漏洞(CVE-2020-15778) CVE编号: CVE-2020-15778 发布时间: 2020-07-24 危害等级: 高危 漏洞版本:<= openssh-8.3p1 漏洞描述: OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在操作系统命令注入漏洞。该漏洞即使在禁用ssh登录的情况下,但是允许使用scp传文件,而且远程服务器允许使用反引号(`),可利用scp复制文件到远程服务器时,执行带有payload的scp命令,从而在后续利用中getshell。
OpenSSH命令注入漏洞复现(CVE-2020-15778)
weixin_44537595的博客
10-24 2980
OpenSSH命令注入漏洞复现 1、简介 OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现,ssh主要就是用来远程控制计算机,或传输文件,OpenSSH是使用SSH透过计算机网络加密通讯的实现。 2、漏洞概述 该漏洞是存在于scp在拷贝文件时产生的一个代码注入漏洞,攻击者可以利用此漏洞执行任意命令,比如:反弹shell, 3、影响版本 openssh <= openssh-8.3p1 4、实验环境 首先下载openssh版本要符合漏洞影响的版本 服务端:apt-get
openssh 命令注入漏洞(cve-2020-15778)
05-26
您好,关于openssh命令注入漏洞(cve-2020-15778),这是一个影响OpenSSH版本7.2到7.9p1的漏洞,攻击者可以利用该漏洞在受害系统上执行任意命令。建议用户及时升级OpenSSH版本到7.9p1或更新版本,并且在防火墙等安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值