openssh漏洞_OpenSSH 命令注入漏洞 (CVE202015778)

最新推荐文章于 2024-05-02 11:25:32 发布
最新推荐文章于 2024-05-02 11:25:32 发布
阅读量1.9k 收藏 1
点赞数
文章标签: openssh漏洞 查看openssh版本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39843847/article/details/111284653
版权

基本信息

风险等级:高危

漏洞类型:命令注入

漏洞利用:已有

漏洞编号:  CVE-2020-15778

漏洞描述

       近日,监测到OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。研究人员Chinmay Pandya在openssh的scp组件中发现了一个命令注入漏洞,OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。scp 是 secure copy 的缩写。在linux系统中,scp用于linux之间复制文件和目录,基于 ssh 登陆进行安全的远程文件拷贝命令。换而言之,漏洞利用需要知道或猜中OpenSSH登陆用户名及密码。

【受影响版本】

OpenSSH <= 8.3p1

       OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。

影响范围

Openssh <= 8.3p1

漏洞排查:

输入以下命令查看OpenSSH版本

ssh -V

如显示的版本号属于受影响的版本,则漏洞存在。

9c60c7f9b2cbb34bfceaa8a08a548c38.png

临时修复建议

加强密码管理,避免使用弱密码,及时周期性更换密码;避免将OpenSSH暴露在外网,规避风险。

情报来源

深信服千里目安全实验室

ceb4440c0c8aadaa9ecbeb985f59e186.png

喜欢这篇文章 就关注这里

f7946c6ffce4c85c1671007119fcde70.png

weixin_39843847
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞SSH Weak Algorithms Supported)
Peter 的博客
01-16 3万+
本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。 一、漏洞描述 SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。 这个漏洞属于SSH的配置缺陷,SSH服务启用了Arcfour (也称RC4)这个不安全算法。 二、...
openssh漏洞_OpenSSH命令注入漏洞复现(CVE202015778
weixin_39998273的博客
12-06 2877
安全漏洞复现VULNERABILITYOpenSSH命令注入漏洞复现(CVE-2020-15778)0x00软件介绍OpenSSHSSH(Secure SHell)协议的免费开源实现。OpenSSH是一套用于安全访问计算机的连接工具,支持对所有的传输进行加密。openssh-8.3p1及以前版本中scp 中的scp.c文件存在操作系统命令注入漏洞,该漏洞源于外部输入数据构造操作系统可执...
OpenSSH命令注入漏洞(CVE-2020-15778)
热门推荐
qq_42947816的博客
02-09 2万+
一般在特定环境下利用,比如在知道SSH账户密码后,但禁用SSH登陆或SSH连接被阻止,服务器允许使用scp传文件的情况下,可对其进行命令注入,所以如果攻击者不知道ssh账密,此漏洞无法利用。
一键解决80%的Linux系统高危漏洞软件-之openssh9.7最新(粉丝送福利)
最新发布
huiyangxu blog
05-02 1188
下面是我这一台Centos6.5的老版本操作系统,没有更新openssh之前的漏洞扫描信息,可以看得出来高风险全是openssh(本漏扫使用最新的规则库2024-04-04发布的)Linux系统默认的OPENSSH版本比较低,等保等安全检查时,一定会被扫出来高风险漏洞,而高风险是等保三的否决项,一定要解决。网上大部分的解决的办法就是源码编译安装openssh,编译的时间较长,也比较麻烦,小白的话很容易做错导致系统登录不进去了。更新openssh之后再漏扫检查,可以看出来,己经没有高风险漏洞了!
OpenSSH 命令注入漏洞(CVE-2020-15778)
旺仔Sec&blog
12-16 7707
介绍 2020年6月9日,研究人员Chinmay Pandya在Openssh中发现了一个漏洞,于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。 漏洞影响版本 OpenSSH =< 8.3p1 漏洞复现要求 OpenSSH =< 8.3p1 需要知道ssh密码 搭建环境 centOS 7 IP:192.1..
CVE-2020-15778 OpenSSH命令注入漏洞
明哥哥知识分享
11-11 1402
一、漏洞概要 2020年6月9日,研究人员Chinmay Pandya在Openssh中发现了一个漏洞,于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。 二、漏洞分析 2.1 OpenSSH介绍 OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenB
OpenSSH 用户名枚举漏洞(CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041) OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux、Unix 和 Windows 等操作系统中。然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
Linux下ssh漏洞利用,【漏洞分析】SSH 命令注入漏洞(CVE-2017-1000117)分析
weixin_39890327的博客
05-13 1551
作者:RickyHao & C1tas@360CERT0x00 背景介绍A malicious third-party can give a crafted “ssh://…” URL to an unsuspecting victim, and an attempt to visit the URL can result in any program that exists on the...
查看openssh版本_OpenSSH命令注入漏洞复现(CVE202015778)
weixin_39707536的博客
12-06 1606
OpenSSH命令注入漏洞复现(CVE-2020-15778)目录漏洞描述漏洞等级漏洞影响版本漏洞复现修复建议▶漏洞描述 OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。 2020年6月9日,研...
命令注入_OpenSSH 命令注入漏洞通告(CVE202015778
weixin_35543991的博客
01-12 366
文章转载自深信服安全团队 概述2020年6月9日,研究人员Chinmay Pandya在Openssh中发现了一个漏洞,于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。漏洞名称:OpenSSH 命令注入漏洞...
Linux下升级OpenSSH8.4p1修复CVE-2020-15778漏洞
椰汁菠萝
02-25 1592
一、安装Telnet登录 二、备份 备份pam.d的sshd cp /etc/pam.d/sshd /etc/pam.d/sshd.bak 三、卸载原有OpenSSH systemctl stop sshd yum remove openssh 验证:ssh -V 移除残留 rm -rf /etc/ssh yum安装openssh(版本通常较低):yum install openssh openssh-clients openssh-server 四、安装必要依赖 yum -y install g
CVE-2020-15778 openssh漏洞修复
N07ME的博客
12-11 6836
漏洞描述 https://access.redhat.com/security/cve/cve-2020-15778 简单来说,就是scp命令是可以注入特殊字段,在目标主机上执行指令的。 原理是因为scp是通过ssh实现的,一样的需要用户名和密码才能登陆。也就是说,这个漏洞其实针对的是那些禁用了ssh但是没禁用scp的主机,针对这些主机,可以从外部通过scp实现和ssh一样的功能。 漏洞修复方案 1.升级到openssh-8.4以上的版本 (要求操作系统版本在centos 8及以上) 2.禁用scp命令 m
openssh漏洞_OpenSSH XMSS Key 解析整数溢出漏洞(CVE201916905)分析
weixin_39981041的博客
11-30 1860
0x01 漏洞分析OpenSSH是Internet用户所依赖的SSH连接工具的免费版本。telnet,rlogin和ftp的用户可能不知道他们的密码是未经加密地通过Internet传输的,但实际上确实是这样。OpenSSH会对所有流量(包括密码)进行加密,以有效消除窃听,连接劫持和其他攻击。此外,OpenSSH提供安全隧道功能和多种身份验证方法,并支持所有SSH协议版本OpenSSH...
openssh 命令注入漏洞(cve-2020-15778)
05-26
您好,关于openssh命令注入漏洞(cve-2020-15778),这是一个影响OpenSSH版本7.2到7.9p1的漏洞,攻击者可以利用该漏洞在受害系统上执行任意命令。建议用户及时升级OpenSSH版本到7.9p1或更新版本,并且在防火墙等安全措施方面做好相应的防护工作。如果您需要更详细的信息或帮助,请告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值