【8版本】OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)

最新推荐文章于 2024-04-20 16:35:40 发布
最新推荐文章于 2024-04-20 16:35:40 发布
阅读量3.7k 收藏 4
点赞数 1
分类专栏: BUG 文章标签: centos linux 系统安全 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44654338/article/details/123901467
版权

1、上篇写了弱加密算法解决方法,但是在实际测试中 发现CentOS8版本系统,写入sshd_config文件指定加密算法并未生效

可以看到还是存在CBC类型加密算法

随即对8版本弱加密算法更改进行排查

2、排查8版本需更改文件

man sshd_config发现并未标明系统默认支持加密算法,以及开头这句话:

The default is handled system-wide by crypto-policies(7). To see the current defaults and how to modify them, see manual page update-crypto-policies(8).

意思就是默认的加密策略由crypto-policies(7)处理。需要查看当前默认值以及更改需要查看手册update-crypto-policies(8).

继续 man

3、定位需更改文件位置

直接找到FILES,找到这个位置:

 /etc/crypto-policies/back-ends  

Contains the generated policies in separated files, and in a format readable by the supported back ends.

这个目录下的是单独的策略文件,看下图,是个软链接实际文件在后面

 4、定位文件后更改

编辑opensshserver.config文件,首行删除 “.cbc” 内容

 

5、重启sshd服务并查看是否还存在弱加密算法

可以看到,cbc相关弱加密算法已经没有了,8版本系统解决 

 

-小-白-
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
OpenSSL漏洞修补方法
04-21
OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。这个漏洞被认为是heartbleed,心脏流血,针对 “OpenSSL被曝存年度最严重安全漏洞” OpenSSL已经发布了1.0.1g修正bug。
SSH服务器CBC加密模式漏洞CVE-2008-5161
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-25 8059
ssh服务器配置为支持密码块链接(cbc)加密。这可能允许攻击者从密文中恢复明文消息。注意,这个插件只检查ssh服务器的选项,不检查易受攻击的软件版本CBC(Cipher-blockchaining,密码分组链接模式),它具备依赖性,加密过程是串行的,无法被并行化,但是解密可以并行化,因为一个密文会影响到该明文与后一个明文,不会对其他明文产生影响。消息必须是块大小的整数倍,不够需要填充。但无法直接从密文中看出明文信息块的规律,所以安全性比较好。...
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x install.sh 命令,然后执行./install.sh即可 如果遇到该问题openssh Your OpenSSL headers do not match your library. vi /etc/ld.so.conf 注释该行 #/usr/local/ssl/lib
OpenSSH 用户名枚举漏洞CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
openssl0.9.8.1101和openssh5.2p1 forAIX5.3 AIX6.1
11-15
这两个文件可以解决OpenSSH CBC模式信息泄露漏洞 CVE-2008-5161
CVE-2008-5161
Jian Sun_的博客
08-04 1029
一般经过我们的加固,Linux环境中一般都已经采用AES这种算法加密,AES有五种加密模式CBC、ECB、CTR、OCF、CFB),centos7.x系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是。修复建议:禁用CBC模式密码加密,并启用CTR或GCM密码模式加密。加密的,我们需要将CBC的加密方式修改为CTR或者GCM。输入以上代码,如果没有要求输入密码,则表示成功。查询找到#Ciphers and keying。SSH服务器CBC加密模式漏洞
OpenSSH CBC模式 加密算法漏洞(CVE-2008-5161)
weixin_44654338的博客
03-24 7586
1、简述 OpenSSH 是一种开放源代码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下,系统默认会选择CBC的加密模式OpenSSH没有正确的处理分组密码加密算法的SSH会话所出现的错误,当在密码块链接 (CBC) 模式下使用块密码算法时,使远程攻击者更容易通过未知向量从SSH会话中的任意密文块中恢复某些明文数据。 2、查看加密算法 我们可以查看目前sshd支持的加密算法:man ssh_config 首先查...
SSH服务器CBC加密模式漏洞 CVE-2008-5161修复方法
weixin_48895757的博客
12-15 471
如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^{-18}, 此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14};修复建议:在安装完成centos7系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,此时需要将CBC的加密方式修改为CTR或者GCM。测试ssh的cbc连接。
OpenSSH CBC模式信息泄露漏洞 解决
热门推荐
q1009020096的博客
01-16 1万+
文章目录问题解决验证解决思路参考文献 问题 某个我们对某个服务进行了漏洞扫描,在扫描报告中发现了一个低微漏洞 [ 低风险 ] OpenSSH CBC模式信息泄露漏洞漏洞描述为: OpenSSH是一种开放源码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下。 如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话...
修复OpenSSH CBC模式信息泄露漏洞
平庸
01-29 3074
修复Open SSH CBC模式信息泄露漏洞
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
OpenSSH 存在输入验证错误漏洞(CVE-2019-16905)修复补丁及命令
01-15
openssh-8.4p1.tar.gz openssl-1.1.1g.tar.gz zlib-1.2.11.tar.gz 操作命令.txt
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级opensshOpenSSH8.4 修复openssh版本漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
crypto_policies:密码政策管理
05-01
crypto_policies 这个Ansible角色管理系统范围的加密策略。 自从Red Hat Enterprise Linux 8和Fedora开始,这个概念就被广泛采用。 要求 在RHEL 8 / CentOS 8和Fedora上实施并测试了系统范围的加密策略。 角色变量 默认情况下,此角色将仅报告系统状态,如下节所述。 crypto_policies_policy 使用此变量可以在目标系统上指定所需的加密策略,该策略可以是基本策略,也可以是update-crypto-policies工具接受的带有策略子模块的基本策略。 例如FUTURE或DEFAULT:NO-SHA1:GOST 。 指定的基本策略和策略子模块必须在目标系统上可用。 默认值为null表示配置不会更改,角色将仅收集以下事实。 在目标系统上可用的基本策略的列表可以在找到crypto_policies_ava
harden-ssh:在各种平台上强化ssh的作用
04-30
变硬 在各种平台上强化ssh的角色。 经过测试的平台: 科学版Linux 6 解决的漏洞 CVE-2008-5161密码) 参考资料和相关资料 密码,MAC,OpenSSH配置
CentOS 7 上安装 MySQL 8.0详细步骤
u011197085的博客
04-19 837
通过以上步骤,您可以在 CentOS 7 上成功安装并配置 MySQL 8.0.30,包括基本安装、初步配置、性能优化和数据迁移。这为您提供了一套全面的 MySQL 安装和配置指南,适合在博客或技术文档中使用。
如何在 CentOS 7 上配置 WordPress 并解决常见问题
re_xue的博客
04-20 604
因为 CentOS 7 的默认仓库中的 PHP 版本可能不足以满足 WordPress 的要求,所以我们需要从第三方仓库安装 PHP。本文旨在提供一个清晰的指南,帮助用户在 CentOS 7 上配置 WordPress,并解决可能遇到的常见问题。在本文中,我将指导如何在 CentOS 7 上安装和配置 WordPress,以及如何解决配置过程中可能遇到的一些常见问题。
CentOS 源码安装 pip3
qianmoQ - 关注云计算,关注大数据
04-19 323
今天在安装部分服务的时候,由于系统 CentOS 中默认带了 pip2,但是我的项目需要是基于 Python3 开发的,需要安装 pip3,特此将整个安装步骤记录下来。需要安装 Python3,可参考 https://devlive.org/archives/wGwzd3RG。
在 Ubuntu 和 CentOS 上重新配置 Fail2Ban
最新发布
re_xue的博客
04-20 768
在这篇博客中,我分享了我在 Ubuntu 和 CentOS 上卸载和重新配置 Fail2Ban 的经验。这个过程包括停止服务、卸载软件包、清理配置文件和数据、重新安装以及配置新的规则。虽然具体的步骤可能因系统和服务的不同而略有差异,但总体流程是相似的。在配置 Fail2Ban 时,我们需要参考文档和系统日志,确保正确设置日志路径、过滤器和操作。通过正确配置 Fail2Ban,我们可以有效地保护服务器免受暴力登录攻击,提高系统的安全性。
OpenSSH 安全漏洞(CVE-2018-15473)
08-04
OpenSSH 安全漏洞(CVE-2018-15473)是一个影响OpenSSH版本小于7.7的漏洞。要复现这个漏洞,可以按照以下步骤进行操作: 1. 首先,需要搭建漏洞环境。可以使用vulhub提供的Docker镜像来搭建环境。具体的操作命令如下: ``` cd vulhub/openssh/CVE-2018-15473 docker-compose build docker-compose up -d ``` 2. 接下来,需要替换密钥文件。首先备份原有的密钥文件,可以使用以下命令进行备份: ``` cp -r /usr/local/openssh/etc /usr/local/openssh/etc.bak ``` 然后,将旧版SSH密钥文件替换为新的密钥文件,可以使用以下命令进行替换: ``` cp /etc/ssh/ssh_host_* /usr/local/openssh/etc ``` 3. 如果旧版本是通过源码安装的OpenSSH,建议备份整个openssh目录。可以使用以下命令进行备份: ``` mv /usr/local/openssh /usr/local/openssh.old ``` 这样就完成了OpenSSH安全漏洞(CVE-2018-15473)的复现。[1][2][3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值