SSH服务器CBC加密模式漏洞 CVE-2008-5161修复方法

已于 2023-12-15 11:47:19 修改
阅读量1.4k 收藏 3
点赞数 3
文章标签: ssh 服务器 运维
于 2023-12-15 11:43:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48895757/article/details/135013625
版权

漏洞简介:
OpenSSH是一种开放源码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下。如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^{-18}, 此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14};
修复建议:在安装完成centos7系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,此时需要将CBC的加密方式修改为CTR或者GCM。

2.处理方法

#ssh -Q cipher //查看你当前ssh使用的算法

[root@003 ~]# ssh -Q cipher

3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

修改sshd_conf配置

#vim /etc/ssh/sshd_config

查询找到#Ciphers and keying

在其下面增加配置项,删除相关CRC内容

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour,arcfour128,arcfour256,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com

重启SSHD

#systemctl restart sshd

3、验证结果

测试ssh的cbc连接

ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc 127.0.0.1

输入以上代码,如果没有要求输入密码,则表示成功。

weixin_48895757
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Juniper交换机漏洞CVE-2008-5161
Jian Sun_的博客
10-30 388
1.Contact the vendor or consult product documentation to disable CBC mode cipher encryption, and enable CTR or GCM cipher mode encryption. All Junos software releases built on or after 2010-06-25 have been modified to prefer CTR modes. Releases containing
修复OpenSSH CBC模式信息泄露漏洞
平庸
01-29 3469
修复Open SSH CBC模式信息泄露漏洞
通过禁用CBC模式解决SSH服务器CBC加密模式漏洞(CVE-2008-5161)
m0_37856120的博客
11-24 855
添加或者修改为(其实就是去掉CBC的算法)
SSH服务器CBC漏洞(CVE-2008-5161)
最新发布
weixin_53389944的博客
07-11 499
OpenSSH 是一种开放源代码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下,Linux环境中一般采用AES这种算法加密,AES有五种加密模式CBC、ECB、CTR、OCF、CFB),系统默认会选择CBC加密模式CBC模式是一种常用的对称加密模式,在加密数据块时,每个数据块都与前一个数据块进行异或运算,然后再进行加密。然而,该漏洞揭示了CBC模式在某些情况下的安全性问题。
SSH服务器CBC加密模式漏洞CVE-2008-5161
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-25 8600
ssh服务器配置为支持密码块链接(cbc加密。这可能允许攻击者从密文中恢复明文消息。注意,这个插件只检查ssh服务器的选项,不检查易受攻击的软件版本。CBC(Cipher-blockchaining,密码分组链接模式),它具备依赖性,加密过程是串行的,无法被并行化,但是解密可以并行化,因为一个密文会影响到该明文与后一个明文,不会对其他明文产生影响。消息必须是块大小的整数倍,不够需要填充。但无法直接从密文中看出明文信息块的规律,所以安全性比较好。...
CVE-2008-5161
Jian Sun_的博客
08-04 1100
一般经过我们的加固,Linux环境中一般都已经采用AES这种算法加密,AES有五种加密模式CBC、ECB、CTR、OCF、CFB),centos7.x系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是。修复建议:禁用CBC模式密码加密,并启用CTR或GCM密码模式加密加密的,我们需要将CBC加密方式修改为CTR或者GCM。输入以上代码,如果没有要求输入密码,则表示成功。查询找到#Ciphers and keying。SSH服务器CBC加密模式漏洞
漏洞扫描<SSH服务器CBC模式密码已启用><SSH弱MAC算法启用><SSH Weak Key Exchange Algorithms Enabled>
kewen_123的博客
08-31 888
【代码】漏洞扫描<SSH服务器CBC模式密码已启用><SSH弱MAC算法启用><SSH Weak Key Exchange Algorithms Enabled>
【8版本】OpenSSH CBC模式加密算法漏洞(CVE-2008-5161)
weixin_44654338的博客
04-01 3891
1、上篇写了弱加密算法解决方法,但是在实际测试中 发现CentOS8版本系统,写入sshd_config文件指定加密算法并未生效 可以看到还是存在CBC类型加密算法 随即对8版本弱加密算法更改进行排查 2、排查8版本需更改文件 man sshd_config发现并未标明系统默认支持加密算法,以及开头这句话: The default is handled system-wide by crypto-policies(7). To see the current defaults and ho
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
OpenSSH 存在输入验证错误漏洞(CVE-2019-16905)修复补丁及命令
01-15
1. `openssh-8.4p1.tar.gz`: 这是OpenSSH的源代码包,版本为8.4p1,包含修复CVE-2019-16905漏洞的补丁。用户需要解压并编译这个源代码以安装更新后的OpenSSH服务器和客户端。 2. `openssl-1.1.1g.tar.gz`: ...
harden-ssh:在各种平台上强化ssh的作用
04-30
变硬 在各种平台上强化ssh的角色。 经过测试的平台: 科学版Linux 6 解决的漏洞 CVE-2008-5161(弱密码) 参考资料和相关资料 密码,MAC,OpenSSH配置
OpenSSL漏洞修补方法
04-21
OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。这个漏洞被认为是heartbleed,心脏流血,针对 “OpenSSL被曝存年度最严重安全漏洞” OpenSSL已经发布了1.0.1g修正bug。
漏洞信息分析
04-15
1、介绍: 1) 端口扫描 2) 全面扫描 2、内容: 1) 端口扫描 通过端口扫描得知系统所运行的服务。得到端口列表后,逐个击破。 我们最关注的是23(telnet)、80(web)、135(RCP)、139(NETBIOS)、445、1433(SQL)、3306(MYSQL)、3389(终端)、5800(WEBVNC)、5900(VNC) 挨个端口进行查点,获得信息。 通过80端口进行渗透 好处 1、80端口的活动,不会被入侵检测系统所记录。 2、比较容易。 最重要的是管理员的帐号以及密码。 2) 全面扫描 通过漏洞扫描器最全面的得知入侵系统所运行的服务及漏洞。 分析扫描报告,提取有价值信息。 作最全面的收集。 对远程主机进行漏洞扫描的时候。 尽可能的取得最全面的信息 扫描报告的分析。 从扫描报告上面的到什么样的东西!!!
远程执行代码漏洞(CVE-2018-0886)漏洞修复
08-21
**远程执行代码漏洞(CVE-2018-0886)详解及修复** 远程执行代码漏洞(Remote Code Execution,RCE)是网络安全领域的一个重要话题,它指的是攻击者利用软件中的漏洞,在未经用户授权的情况下,能够在目标系统上执行...
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041) OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux、Unix 和 Windows 等操作系统中。然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
OpenSSH CBC模式加密算法漏洞(CVE-2008-5161)
weixin_44654338的博客
03-24 8102
1、简述 OpenSSH 是一种开放源代码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下,系统默认会选择CBC加密模式。 OpenSSH没有正确的处理分组密码加密算法的SSH会话所出现的错误,当在密码块链接 (CBC) 模式下使用块密码算法时,使远程攻击者更容易通过未知向量从SSH会话中的任意密文块中恢复某些明文数据。 2、查看加密算法 我们可以查看目前sshd支持的加密算法:man ssh_config 首先查...
cve-2008-4834漏洞修复
09-04
对于CVE-2008-4834漏洞修复,首先需要了解该漏洞的具体细节和影响。然后,根据漏洞的性质,可以采取以下几种方法修复: 1. 更新软件版本:检查使用的软件或系统是否存在已知的漏洞,并及时更新到最新版本。厂商通常会发布修复补丁或安全更新来解决已知漏洞。 2. 配置安全策略:通过合理配置安全策略,如访问控制、防火墙等,限制漏洞的利用。确保只有授权的用户可以访问和操作相关资源。 3. 关闭不必要的服务:关闭不必要的网络服务或端口,减少攻击面。只保留必要的服务,并采取安全配置措施,如限制访问、加密通信等。 4. 加强身份验证:使用强密码、多因素身份验证等措施,增加用户身份验证的安全性。 5. 安全编码和输入验证:在应用程序开发过程中,采用安全编码实践和输入验证技术,避免常见的漏洞,如跨站点脚本攻击(XSS)、SQL注入等。 请注意,具体的修复方法可能因漏洞类型和受影响的软件而有所不同。建议在修复漏洞之前仔细评估和测试修复措施,确保其有效性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值