漏洞修复记录

 

1，如果配置为CBC模式的话，SSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误

OpenSSH是一种开放源码的SSH协议的实现，初始版本用于OpenBSD平台，现在已经被移植到多种Unix/Linux类操作系统下。 
如果配置为CBC模式的话，OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误，导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时，攻击者恢复32位纯文本的成功概率为2^{-18}，此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14}。

处理：使用man sshd_config查看Ciphers项可以看到sshd支持的算法

最后在/etc/ssh/sshd_config配置文件中查找Ciphers相应的配置 项，没有就添加，这里就是：

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected],[email protected]

 

2，OpenSSH 7.8及之前版本中的auth-gss2.c文件存在安全漏洞

OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。

OpenSSH 7.8及之前版本中的auth-gss2.c文件存在安全漏洞。远程攻击者可利用该漏洞检测其指定的用户是否存在

升级openssh到最新版本7.9即可

具体参考：https://blog.csdn.net/jc_benben/article/details/89216683