ssh密码长度漏洞java,【漏洞预警】OpenSSH现中危漏洞,可致远程代码执行

最新推荐文章于 2024-06-01 07:32:36 发布
最新推荐文章于 2024-06-01 07:32:36 发布
阅读量312 收藏
点赞数
文章标签: ssh密码长度漏洞java

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

3e3c72323dfb6603ed2c8213094918cb.png

漏洞编号

CVE-2016-10009

漏洞等级

中危

漏洞影响

OpenSSH 7.3及以下版本

漏洞描述

漏洞出现ssh-agent中,这个进程默认不启动、只在多主机间免密码登录时才会用到。sshd 服务器可以利用转发的 agent-socket 文件欺骗本机的 ssh-agent 在受信任的白名单路径以外加载一个恶意 PKCS#11 模块,任意执行代码。换句话说,是恶意服务器在客户端的机器上远程执行代码。

这个漏洞的利用条件是比较严苛的,要求攻击者控制转发agent-socket,而且需要有主机文件系统写权限。所以官方把该漏洞等级评为中危。基于OpenSSH庞大的用户量,可能有少部分主机会受此影响。

b42e2bd85e78ceb1d5f824560f08da25.png

漏洞修复

实际上仅允许加载受信任白名单的模块,即可解决问题。OpenSSH官方已于12月19日发布7.4版本的OpenSSH,修复了包括CVE-2016-10009在内的多个漏洞。Ubuntu、Debian等平台也已经更新了程序。请大家及时到最新版本。

e83b65cc4ad452d7e9cd9ce27b49ba26.png

*参考来源:hackernews.cc & 某个盖子 & OpenBSD & Red Hat Bugzilla,本文作者:Sphinx,转载请注明来自FreeBuf(FreeBuf.com)

女王气质
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssh7.3
01-17
注意:openssh的安装要依赖openssl和zlib,在安装新版本的openssh之前,要先安装对应版本的openssl和zlib先卸载旧版openssh,再逐步安装zlib、openssl、openssh
关于OpenSSH远程代码执行漏洞的通报
weixin_34120274的博客
09-04 834
本文讲的是 关于OpenSSH远程代码执行漏洞的通报,近日,互联网上披露了有关“OpenSSH远程代码执行漏洞(CNNVD-201612-616)”的相关情况,引发安全研究人员高度关注。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下: 一、漏洞简介 OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套...
linux ssh7.4 升级至9.5(安全扫描漏洞处理)
Innocence_0的博客
06-01 811
漏洞处理#$ ssh -V点击进行下载点击进行下载点击[telnet-server-0.17-66.el7.x86_64.rpm “telnet-server-0.17-66.el7.x86_64.rpm”)进行下载。
web渗透测试----5、暴力破解漏洞--(1)SSH密码破解
七天
06-23 873
SSH暴力破解
OpenSSH新曝出严重Bug,影响广泛
weixin_34112030的博客
07-04 255
据最新的Bug报告,OpenSSH的版本从5.4到7.1均有此一严重的漏洞,基于这些版本的OpenSSH用户需及时的给这些系统打补丁。注意,此bug会同时影响到OpenSSH的特定OpenBSD版本以及相关的移植版本。 这个新发漏洞是由一个功能叫做roaming所引起的,而这个功能主要是用于SSH连接的断开续连的,这当然会影响到用户的。但是SSH的服...
最近的 OpenSSH 漏洞究竟有多大害?
weixin_34411563的博客
06-06 1113
OpenSSH 刚刚更新到了 7.4 版,修复了已公开的 CVE-2016-10009, CVE-2016-10010, CVE-2016-10011, CVE-2016-10012 以及一个没有 CVE 的漏洞。其,CVE-2016-10009 可以用来“任意执行代码”,因此,强烈建议大家立即更新所有的服务器,而且客户端也不能除外。但是,这些漏洞究竟...
CentOS Linux OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
07-04
CentOS Linux OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
Rochy Linux 9.0 OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
最新发布
07-04
Rochy Linux 9.0 OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh漏洞(亲测有效)
02-22
OpenSSH是一个开放源代码的套件,它提供了安全的网络服务,如加密的远程登录(SSH)和文件传输(SFTP、SCP)。OpenSSH基于SSH协议,用于替代不安全的telnet和rlogin等明文通信协议。 OpenSSH 9.6p1是该软件的一个...
openssh-9.6.tar.gz版本,最新版本修复openssh命令注入漏洞
01-17
openssh-9.6.tar.gz版本,最新版本修复openssh命令注入漏洞OpenSSH是使用SSH协议进行远程登录的首要连接工具。它对所有流量进行加密,以消除窃听、连接劫持和其他攻击。此外,OpenSSH提供了一大套安全隧道功能、几...
ssh+漏洞修复+openssh-8.8p1.tar.gz、openssl-1.1.1s.tar.gz
09-26
1. **密码和认证增强**:OpenSSH可能会对密码策略进行升级,例如增加最小密码长度,支持更复杂的密码策略,或引入多因素认证。 2. **密钥交换协议更新**:可能包含新的或强化的密钥交换协议,以防止间人攻击。 3. ...
漏洞利用--SSH私钥免密登陆
qq_43757105的博客
08-28 667
在已知对方SSH私钥id_rsa的情况下,可以利用此漏洞免密登陆,具体操作如下: 1.用kali ping 通对方ip 2.在kali上将获取到的id_rsa的权限提高 chmod 500 id_rsa 3.ssh免密登陆 ssh -i id_rsa 用户名@ip ...
linux的ssh漏洞,Linux的SSh的一些安全功能
weixin_29570673的博客
05-12 471
简介SSH 由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络漏洞SSH客户端适用于多种平台。几乎所...
OpenSSH 曝远程代码执行漏洞,尽快升级
郑帅的博客
12-23 8608
导读 12月19日,国外漏洞平台 securityfocus上发布了最新的 OpenSSH(CVE-2016-10009)远程代码执行漏洞。由于问题出在ssh-agent,这个进程默认不启动、只在多主机间免密码登录时才会用到,漏洞利用条件也比较苛刻,因此官方漏洞评级仅“”。用户仍需尽快升级至最新版本。 OpenSSH 7.4已于2016年12月19日正式发布,新版本移植了在
OpenSSH 漏洞修复升级最新版本(修改版)
Leckun的专栏
01-08 815
Centos7系统ssh默认版本一般是OpenSSH7.4左右,低版本是有漏洞的而且是高漏洞,在软件交付和安全扫描上是过不了关的,一般情况需要升级OpenSSH的最新版本今天详细说下升级最新版本的处理过程(认真看会发操作很简单,因为写的操作很详细…)
ssh免密登录于linux系统上的使用及其漏洞
l4kjih3gfe2dcba1的博客
04-25 2149
ssh免密登录于linux系统上用于渗透的使用及其漏洞 文章目录ssh免密登录于linux系统上用于渗透的使用及其漏洞免密登录使用教程渗透实验CVE漏洞 免密登录使用教程 参考博文 渗透实验 通过操作机终端使用ssh登录靶机的test用户(密码123),test用户目录存放了可用于ssh密码登录靶机的flag用户所必要的文件,使用这些文件登录靶机的flag用户,flag存在于flag用户目录。 首先解析题目并登录靶机,由于题目坑爹,其实所需文件在flag目录下,所以我们把它复制到自己的目录下
linux ssh权限漏洞,linux sudo root 权限绕过漏洞(CVE-2019-14287)
weixin_31424199的博客
04-30 288
0x01html逛圈子社区论坛 看到了 linux sudo root 权限绕过漏洞(CVE-2019-14287) 跟着复下linux综合来讲 这个漏洞做用不大 须要如下几个前提条件数据库1.知道当前普通用户的密码bash2.当前普通用户在souduers文件服务器3.本地提权须要本地操做 估计远程ssh链接的终端会失败ssh0x02ui此漏洞可使受限制的用户运行root命令spa1....
漏洞利用-SSH安全防御
我是闲人的博客
03-29 5880
一、SSH修改默认端口 默认情况下,SSH使用22端口。为了安全,一般情况下都会修改默认端口。 修改/etc/ssh/ssh_config文件内容。找到Port ,把原来的22修改成想要的端口,一般修改后的端口比较大。 注意:修改之后必须重新启动SSH服务 二、SSH设置PGP登录 默认情况下,SSH使用用户名和密码进行远程登录。但也可以使用密钥对进行身份验证登录(公钥和私钥)。 这里我就使用xshell生成密钥 Xshell生成密钥 打开Xshell,在菜单栏点击“工具”,在弹出的菜单.
OpenSSH 远程代码执行漏洞(CVE-2024-6387)
07-04
CVE-2024-6387是一个公开的安全漏洞,也被称为“OpenSSH 命令注入漏洞”或“SSH Remote Code Execution (RCE)”,它发生在某些版本的 OpenSSH 。 这个漏洞允许攻击者通过精心构造的 SSH 命令执行任意系统命令,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值