OpenSSH 用户枚举漏洞(CVE-2018-15473) 漏洞修复

最新推荐文章于 2024-04-26 16:31:32 发布

LOOPY_Y

最新推荐文章于 2024-04-26 16:31:32 发布

阅读量1.2k

点赞数

文章标签： linux

本文链接：https://blog.csdn.net/weixin_46505978/article/details/131470405

版权

OpenSSH 用户枚举漏洞（CVE-2018-15473）漏洞修复

1 漏洞说明
2 漏洞修复
3 相关问题

1 漏洞说明

在这里插入图片描述

2 漏洞修复

查看当前openssh版本：

[root@izr0a05u4qferpr7yfhtotz ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
[root@izr0a05u4qferpr7yfhtotz ~]#

下载openssh 7.8版本安装包，并上传至服务器；

解压安装包：

[root@izr0a05u4qferpr7yfhtoqz opt]# tar -xvf openssh-7.8p1.tar.gz

进入解压后的目录，开始编译并安装：

[root@izr0a05u4qferpr7yfhtoqz opt]# cd openssh-7.8p1
[root@izr0a05u4qferpr7yfhtoqz openssh-7.8p1]# ./configure
...省略过程日志...
[root@izr0a05u4qferpr7yfhtoqz openssh-7.8p1]# make
...略过程日志...
[root@izr0a05u4qferpr7yfhtoqz openssh-7.8p1]# make install

3 相关问题

编译时若出现以下报错，则表示zlib没有安装：

checking for zlib.h... no
configure: error: *** zlib.h missing - please install first or check config.log ***

安装zlib：

yum -y install zlib zlib-devel

编译时若出现以下报错：

checking for openssl/opensslv.h... no
configure: error: *** OpenSSL headers missing - please install first or check config.log ***

解决方式：

yum install openssl openssl-devel

优惠劵

LOOPY_Y

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
OpenSSH 用户枚举漏洞(CVE-2018-15473) 漏洞修复

OpenSSH 用户枚举漏洞(CVE-2018-15473) 漏洞修复
复制链接

扫一扫

OpenSSH用户枚举漏洞poc（CVE-2018-15473）

08-24

OpenSSH用户枚举漏洞poc（CVE-2018-15473），通过poc可以直接检查目标服务器是否存在此漏洞，通过检查漏洞，来及早发现漏洞，打上补丁

OpenSSH 用户枚举漏洞(CVE-2018-15919)

雷电一号

07-02

8359

最近被用绿盟工具检查了实验室的机器，发现不少漏洞。平时实验室因为无法外网访问所以是不在乎。但既然查出来就处理一下。消除方法，升级openssh到7.8以上。现在版本： midc@phab:~$ ssh -V OpenSSH_7.6p1 Ubuntu-4ubuntu0.3, OpenSSL 1.0.2n 7 Dec 2017 去官网找下载：http://www.openssh.com/portable.htmlhttps://openbsd.hk/pub/OpenBSD/OpenSSH/por.

参与评论您还未登录，请先登录后发表或查看评论

OpenSSH 用户枚举漏洞(CVE-2018-15473)修复

热门推荐

huryer的专栏

01-04

2万+

OpenSSH 用户枚举漏洞(CVE-2018-15473) 1、漏洞描述漏洞名称 OpenSSH 用户枚举漏洞(CVE-2018-15473)【原理扫描】详细描述 : OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻...

【CVE-2018-15473】漏洞修复-离线版

weixin_45918954的博客

02-20

1045

通过 find / -name libcrypto.so.3 和 libssl.so.3 查找到对应so文件的位置，并建立软连接。(可能下面的ssh.pam文件都没用到，因为sshd_config配置文件貌似没使用它，请自行测试。根据漏扫建议升级OpenSSH-7.8已经修复这个安全问题，我想不如干脆升级到8.8p1版本算了。OpenSSH 7.7及之前版本中存在用户枚举漏洞，该漏洞源于程序会对有效的和无效的。根据原ssh配置文件，修改新生成的配置文件/etc/ssh/sshd_config。

CVE-2018-15473 修复

weixin_28947667的博客

06-26

1076

该漏洞和auth2-gss.cauth2-hostbased.cauth2-pubkey.c有关。--也可以拼接起来，不过报错就不知道哪里有问题了 ./configure && make && make install。当openssh版本过低时，会出现OpenSSH 用户枚举漏洞(CVE-2018-15473)--上传压缩包,直接RZ发现没安装，那就安装一下。--发现版本是7.8以下，所以需要升级。--发现安装GCC，那就下载安装GCC。--重启SSH就好了？--方法1，在线升级。--方法2，离线升级。

linux openssh7.7及一下漏洞 CVE编号CVE-2018-15473

成长的笨熊

08-11

678

openssh7.7及一下漏洞 CVE-2018-15473

OpenSSH 用户名枚举漏洞 CVE-2018-15473 漏洞复现

Senimo

08-02

8208

OpenSSH 用户名枚举漏洞 CVE-2018-15473 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接一、漏洞描述 OpenSSH 7.7前存在一个用户名枚举漏洞，通过该漏洞，攻击者可以判断某个用户名是否存在于目标主机中。攻击者可以尝试使用格式错误的数据包（例如，截断的数据包）对用户进行身份验证，并且：如果用户无效（不存在），则 userauth_pubkey()立即返回，服务器发送 SSH2_MSG_USERAUTH_FAILURE到攻击者；

OpenSSH 用户枚举漏洞(CVE-2018-15473) 漏洞处理

qq_44929154的博客

04-10

1120

OpenSSH 用户枚举漏洞(CVE-2018-15473) 漏洞处理

SSH用户枚举漏洞（CVE-2018-15473）原理学习

weixin_30915275的博客

08-24

1291

一、漏洞简介 1、漏洞编号和类型 CVE-2018-15473 SSH 用户名（USERNAME）暴力枚举漏洞 2、漏洞影响范围 OpenSSH 7.7及其以前版本 3、漏洞利用方式由于SSH本身的认证机制存在缺陷，导致攻击者可以使用字典，暴力枚举SSH存在的用户名(Username) 4、漏洞修复方式升级openssh 二、漏洞原理及其利用分析 1、漏洞原理参考国外文献:...

OpenSSH 用户名枚举漏洞（CVE-2018-15473）

EC_Carrot的博客

06-30

2404

漏洞背景 OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH 7.7及之前版本中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。漏洞复现我们需要用到CVE-2018-15473-Exploit工具枚举字典中的用户名： python3 sshUser

OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令

03-31

通过升级openssh到OpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g， openssh-8.4p1，zlib-1.2.11

OpenSSH 用户名枚举漏洞（CVE-2018-15473）.zip

03-06

OpenSSH 7.7及之前版本中存在用户枚举漏洞，该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。学习笔记

OpenSSH 资源管理错误漏洞(CVE-2021-28041)

06-22

OpenSSH 资源管理错误漏洞(CVE-2021-28041)

OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1

10-17

一键备份升级Openssh9.5p1 解决CVE-2023-38408,具体步骤见

Linux多进程(五) 进程池 C++实现

最新发布

Lyajpunov的博客

04-26

578

进程池是一种并发编程模式，用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况，以避免因此产生的开销。减少进程创建销毁的开销：避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度：由于进程已经初始化并且一直保持在内存中，可以立即分配执行任务，减少了任务等待时间。控制资源使用：通过限制进程池中的进程数量，可以控制系统资源的使用情况，避免资源过度消耗。

Linux——web服务配置

Xinan_____的博客

04-23

1049

GET：请求获取指定资源的表示形式。使用GET方法，客户端请求服务器发送某个资源。POST：向指定资源提交数据，用于处理表单提交、文件上传等操作。PUT：向指定资源位置上传其最新内容，用于更新资源。DELETE：请求服务器删除指定资源。HEAD：请求获取与实体相对应的头部信息，用于获取资源的元数据。OPTIONS：请求查询服务器支持的HTTP方法。TRACE：请求服务器回显收到的请求消息，用于测试或诊断。200 OK：请求成功。：永久重定向，请求的资源已经被分配了新的。

linux18：进程等待

m0_73919066的博客

04-20

1097

1：子进程创建的目的是要完成父进程指派的某个任务，当子进程运行完毕退出时，父进程需要通过进程等待的方式，回收子进程资源，获取子进程退出信息（子进程有无异常？没有异常结果是否正确？检查退出码查看错误原因）2：父进程如果一直不回收，就可能造成子进程‘僵尸进程’的问题，子进程一直得不到父进程的回收，进而造成内存泄漏。3：子进程一旦变成僵尸状态，那就刀枪不入，“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。

Linux之C编程入门

qwertf123的博客

04-21

846

Linux之C编程入门

OpenSSH 用户枚举漏洞(CVE-2018-15473)漏洞修复详细方法

06-09

CVE-2018-15473是一种OpenSSH版本中的漏洞，可允许未经身份验证的远程用户枚举有效用户帐户名。该漏洞可能会允许攻击者识别系统中存在的有效用户帐户名，从而使攻击者更容易进行进一步的攻击。以下是修复此漏洞的详细步骤： 1. 确认您的系统是否受到此漏洞的影响。使用以下命令检查OpenSSH版本： ``` ssh -V ``` 如果版本是7.7p1之前的版本，则受到此漏洞的影响。 2. 下载并安装OpenSSH的最新版本。您可以从OpenSSH官方网站下载最新版本。安装过程可能会因您的操作系统而异，因此请按照您所使用的操作系统的指南进行操作。 3. 配置OpenSSH以防止未经身份验证的访问。在OpenSSH配置文件中，找到以下行： ``` # Authentication: #LoginGraceTime 2m #PermitRootLogin prohibit-password #StrictModes yes #MaxAuthTries 6 #MaxSessions 10 ``` 将“PermitRootLogin”行更改为以下内容： ``` PermitRootLogin no ``` 这将防止未经身份验证的用户访问系统。 4. 重启OpenSSH服务。在大多数情况下，您可以使用以下命令重启OpenSSH服务： ``` service sshd restart ``` 完成上述步骤后，您的系统应该已经修复了CVE-2018-15473漏洞。务必定期更新OpenSSH和其他系统组件以确保您的系统安全。

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交