openssh漏洞_漏洞预警 | OpenSSH 命令注入漏洞

最新推荐文章于 2024-08-15 08:06:33 发布
最新推荐文章于 2024-08-15 08:06:33 发布
阅读量416 收藏
点赞数
文章标签: openssh漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39896839/article/details/111284657
版权

0x00  漏洞编号

  • CVE-2020-15778

0x01 危险等级

  • 高危

0x02 漏洞概述

OpenSSH 8.3 p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,未正确过滤其中的特殊字符导致。攻击者可利用该漏洞执行非法命令。 OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。

064e6ca45fd9736e64ad8b59c831f961.png

0x03 影响版本

  • <=openssh-8.3p1

0x04 修复建议

官方尚未发布安全更新补丁,请密切关注厂商主页获取解决办法:

http://www.openssh.com/portable.html

0x05 相关链接

https://github.com/cpandya2909/CVE-2020-15778/ https://nvd.nist.gov/vuln/detail/CVE-2020-15778 dfa0a85a1941f6a659a28a74e3ca8553.gif 851e98e3688fa1451852226338f13a91.gif 8cd8a257db8129a102f4464a7db9dfc0.png 851e98e3688fa1451852226338f13a91.gif
weixin_39896839
关注
openssh-9.6.tar.gz版本,最新版本修复openssh命令注入漏洞
01-17
openssh-9.6.tar.gz版本,最新版本修复openssh命令注入漏洞OpenSSH是使用SSH协议进行远程登录的首要连接工具。它对所有流量进行加密,以消除窃听、连接劫持和其他攻击。此外,OpenSSH提供了一大套安全隧道功能、几...
CVE-2020-15778 OpenSSH命令注入漏洞
yyj1781572的博客
04-05 3205
scp是secure copy的缩写。在linux系统中,scp用于linux之间复制文件和目录,基于ssh登陆进行安全的远程文件拷贝命令。该命令openssh的scp.c及其他相关代码实现,通过这次实验你将了解到通过scp进行反弹shell的操作。
查看openssh版本_OpenSSH 命令注入漏洞CVE202015778)复现
weixin_39561179的博客
12-11 812
漏洞详情漏洞说明#OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令漏洞编号#CVE-2020-15778影响范围#OpenSSH <= 8.3p1危害等级#高危利用条件#知道目标的ssh密码修复建议#先...
守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略
最新发布
超哥的博客
08-15 1323
守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略1 漏洞简述1.1 漏洞成因1.2 漏洞影响1.3 处置优先级:高2 影响版本3 解决方案3.1 临时缓
OpenSSH命令注入漏洞(CVE-2020-15778)
热门推荐
qq_42947816的博客
02-09 2万+
一般在特定环境下利用,比如在知道SSH账户密码后,但禁用SSH登陆或SSH连接被阻止,服务器允许使用scp传文件的情况下,可对其进行命令注入,所以如果攻击者不知道ssh账密,此漏洞无法利用。
OpenSSH_8.3-命令注入漏洞攻击与修复
weixin_48684274的博客
10-23 7709
OpenSSH_8.3及以下-命令注入漏洞攻击与修复 2020年6月9日发现漏洞,2020年7月18日公开漏洞。 攻击原理 使用SCP中远程功能进行命令注入漏洞复现要求 OpenSSH版本 =<8.3p1 ssh连接密码 攻击环境 攻击方:kali:192.168.0.130 靶机: CentOS7:192.168.0.187 攻击测试 kali: 上传任意文件到靶机上,文件允许为空,因为上传的文件不是主角。而是``里面的命令作为注入点进行攻击。 scp dic.txt root@192.1
如何修复ssh漏洞进行版本升级
Liu_Fang_Hong的博客
07-09 6083
详细描述 在通过启用了X11转发的SSH登录时,sshd(8)没有正确地处理无法绑定到IPv4端口但成功绑定到IPv6端 口的情况。在这种情况下,使用X11的设备即使没有被sshd(8)绑定也会连接到IPv4端口,因此无法安全的进行转 发。 恶意用户可以在未使用的IPv4端口(如tcp 6010端口)上监听X11连接。当不知情的用户登录并创建X11转 发时,恶意用户可以捕获所有通过端口发送的X11数据,这可能泄露敏感信息或允许以使用X11转发用户的权限执
Redhat6.5升级openSSH-8.7p1修补扫描openSSH漏洞.zip
09-26
本文将详细讲解如何在Redhat 6.5系统上升级OpenSSH到8.7p1版本以修补已知的漏洞,以及涉及的相关软件如OpenSSL和zlib的重要性。 OpenSSH是用于在Linux和Unix系统上实现安全远程登录的开源软件套件,它包括SSH客户端...
openssh8.7_x11_source.tgz
09-02
OpenSSH 8.7 安全漏洞升级与RPM包制作详解》 OpenSSH,全称Open Source Secure Shell,是互联网上广泛使用的安全通信协议,用于在不同网络之间提供加密的连接服务,包括远程登录、文件传输等。OpenSSH 8.7版本...
openssh漏洞修复,openssh升级脚本一键升级8.9
06-23
5. `update_openssh.sh`:这是一个升级脚本,设计用于自动化OpenSSH的升级过程,包括编译和安装新的OpenSSH和依赖库,大大简化了操作流程。 以下是使用这个升级脚本的一般步骤: 1. 首先,确保系统已经安装了必要...
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh中高危漏洞(亲测有效)
02-22
5. **安装OpenSSH 9.6p1**:执行下面的命令来安装或升级OpenSSH到9.6p1版本。 ``` sudo yum install openeuler-openssh-9.6p1 -y ``` 6. **配置并启动新版本**:确保新版本的配置文件符合你的需求,然后启动或...
OpenssH 漏洞修复
阿干tkl的博客
01-12 2692
OpenssH 安全漏洞扫描版本过低,需更新到最新版本
一键解决80%的Linux系统高危漏洞软件-之openssh9.7最新(粉丝送福利)
huiyangxu blog
05-02 2070
下面是我这一台Centos6.5的老版本操作系统,没有更新openssh之前的漏洞扫描信息,可以看得出来高风险全是openssh(本漏扫使用最新的规则库2024-04-04发布的)Linux系统默认的OPENSSH版本比较低,等保等安全检查时,一定会被扫出来高风险漏洞,而高风险是等保三的否决项,一定要解决。网上大部分的解决的办法就是源码编译安装openssh,编译的时间较长,也比较麻烦,小白的话很容易做错导致系统登录不进去了。更新openssh之后再漏扫检查,可以看出来,己经没有高风险漏洞了!
openssh漏洞修复方案
qq_37867279的博客
03-05 1988
镜像下载:https://mirrors.aliyun.com/centos-vault/7.6.1810/isos/x86_64/?**注意:**执行的所有操作必须为root用户。升级前请打开多个窗口,避免升级失败无法连接。**注意:**执行的所有操作必须为root用户。升级前请打开多个窗口,避免升级失败无法连接。重新打开一个升级的终端,输入密码后可以登录则说明升级成功。将下载好的镜像与openssh包进行上传。
Openssh高危漏洞CVE-2023-38408修复方案
吴大锤的专栏
08-03 1万+
手动更新Openssh到最新 9.3.2版本
OpenSSH漏洞CVE-2021-41617 & CVE-2020-15778,CentOs7.6升级openssh-8.8p1 & openssl-1.1.1m
一缕南风的博客
05-16 1万+
简介 OpenSSH是SSH(Secure SHell)协议的免费开源实现。OpenSSH是个SSH的软件,linux/unix都用openssh软件提供SSH服务。scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令漏洞概述 1. CVE-2021-41617 OpenSSHOpenBSD Secure Shell)是Openbsd计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,
OpenSSH漏洞CVE-2023-51385可能允许远程执
极道Jdon的技术博客
12-26 1914
被跟踪为CVE-2023-51385的漏洞源于在 OpenSSH 中使用 ProxyCommand 或 ProxyJump 功能时在某些情况下对用户提供的输入验证不足。如果成功利用,该缺陷可能会被用来绕过身份验证并获得对运行易受攻击的 OpenSSH 版本的系统的未经授权的远程访问。,所有受影响的用户应紧急更新到最新的 OpenSSH 版本 9.6p1,其中包含此缺陷的修复程序。用户还应该谨慎对待来自不受信任来源的主机名。这表明该漏洞是真实存在的,远程攻击者在适当的情况下是可以利用的。
OpenSSH命令注入漏洞复现(CVE-2020-15778)
千寻的博客
03-06 1万+
漏洞名称 OpenSSH命令注入漏洞 漏洞编号 CVE-2020-15778 漏洞描述 OpenSSH8.3p1及之前版本中scp的scp.c文件存在操作系统命令注入漏洞。 该漏洞即使在禁用ssh登录的情况下,但是允许使用scp传文件,而且远程服务器允许使用反引号(`)。 攻击者可利用scp复制文件到远程服务器时,执行带有payload的scp命令,从而在后续利用中getshellOpenSSH简介 OpenSSH是 SSH(Secure SHell) 协议的免费开源实现。
漏洞复现】OpenSSH ProxyCommand命令注入漏洞CVE-2023-51385)
做自己喜欢的事,并将其发挥到极致!
12-27 5214
OpenSSH 是 SSH(Secure SHell)协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。一个存在于OpenSSH中的命令注入漏洞,攻击者可利用该漏洞注入恶意Shell字符导致命令注入
修复OpenSSH J PAKE漏洞CVE-2010-4478:Linux OpenSSH重装指南
"解决OpenSSH J-PAKE授权问题漏洞CVE-2010-4478的Linux上OpenSSH重装方法" OpenSSH是一款广泛使用的开源安全协议,用于在Linux和Unix系统之间提供加密的网络服务,如远程登录、文件传输等。然而,它也可能会存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值