OpenSSH 多个远程拒绝服务漏洞
发表日期:2014-07-28 15:23:20
OpenSSH 多个远程拒绝服务漏洞
BugTraq-ID:68757
CVE-ID:CVE-2010-4755
受影响系统:
OpenSSL Project OpenSSL <= 5.8
详细信息:
OpenSSH是SSH协议的开源实现。
OpenSSH 5.8及更早版本,sftp.c的process_put函数及sftp-glob.c的remote_glob函数存在安全漏洞,这可使经过身份验证的远程用户通过特制的不匹配任何路径名的glob表达式,利用此漏洞造成拒绝服务。
来源:
Maksymilian Arciemowicz (max@jestsuper.pl)
解决办法:
厂商补丁:
OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://cvsweb.netbsd.org/cgi-bin/cvsweb.cgi/src/crypto/dist/ssh/Attic/sftp-glob.c#rev1.13.12.1
http://cvsweb.netbsd.org/cgi-bin/cvsweb.cgi/src/crypto/dist/ssh/Attic/sftp.c#rev1.21.6.1