资源管理错误漏洞修复CVE-2002-20001

前言

操作系统：

centos7.9

漏洞名称：

Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞

影响性分析说明：

Diffie-Hellman 密钥协商协议允许远程攻击者（来自客户端）只需要很少的 CPU 资源和网络带宽就可以发送实际上不是公钥的任意数字，来触发服务器端昂贵的 DHE 模幂计算，这称为 D(HE)ater 攻击。客户端。在客户端可以要求服务器选择其支持的最大密钥大小的情况下，攻击可能更具破坏性。在ssh客户端与sshd服务端进行密钥交换时，如果客户端指定使用DH密钥交换算法，且服务端允许使用DH密钥交换算法时，就会触发服务端进行D(HE)ater 攻击。

修复建议：

OpenSSH修复 https://github.com/Balasys/dheater

解决步骤：

# 修改sshd_config文件配置
KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group1-sha256,diffie-hellman-group14-sha1,diffie-hellman-group14-sha256,diffie-hellman-group15-sha256,diffie-hellman-group15-sha512,diffie-hellman-group16-sha256,diffie-hellman-group16-sha512,diffie-hellman-group17-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha512 
MaxStartups 10:30:100
PerSourceMaxStartups 1
PerSourceNetBlockSize 32:128
# 重启sshd