OpenSSH auth_parse_options函数信任管理漏洞

漏洞信息详情

OpenSSH auth_parse_options函数信任管理漏洞

• CNNVD编号：CNNVD-201201-399
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2012-0814
  
• 漏洞类型：
  
  
  信任管理
  
• 发布时间：
  
  2012-01-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-02-01
  
• 厂        商：
  
  openbsd
• 漏洞来源：

OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。

OpenSSH 5.7之前版本的sshd的auth-options.c的auth_parse_options函数中存在漏洞，该漏洞源于其提供包含authorized_keys命令选项的调试信息。远程认证用户可利用该漏洞通过读取这些信息获取潜在的敏感信息。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.openbsd.org/

来源: www.openbsd.org

链接:http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/auth-options.c.diff?r1=1.53;r2=1.54

来源: www.openbsd.org

链接:http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/auth-options.c

来源: MLIST

名称: [oss-security] 20120127 Re: CVE Request: Debian (others?) openssh-server: Forced Command handling leaks private information to ssh clients

链接:http://openwall.com/lists/oss-security/2012/01/27/4

来源: MLIST

名称: [oss-security] 20120126 Re: CVE Request: Debian (others?) openssh-server: Forced Command handling leaks private information to ssh clients

链接:http://openwall.com/lists/oss-security/2012/01/27/1

来源: MLIST

名称: [oss-security] 20120126 Re: CVE Request: Debian (others?) openssh-server: Forced Command handling leaks private information to ssh clients

链接:http://openwall.com/lists/oss-security/2012/01/26/16

来源: MLIST

名称: [oss-security] 20120126 CVE Request: Debian (others?) openssh-server: Forced Command handling leaks private information to ssh clients

链接:http://openwall.com/lists/oss-security/2012/01/26/15

来源: bugs.debian.org

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=657445