OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)

1、简述

      OpenSSH 是一种开放源代码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下,系统默认会选择CBC的加密模式。
      OpenSSH没有正确的处理分组密码加密算法的SSH会话所出现的错误,当在密码块链接 (CBC) 模式下使用块密码算法时,使远程攻击者更容易通过未知向量从SSH会话中的任意密文块中恢复某些明文数据。

2、查看加密算法
我们可以查看目前sshd支持的加密算法:man ssh_config

OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)_第1张图片

 首先查看当前加密算法都有哪些

使用nmap

nmap --script "ssh2*" ip地址

我们会看到当前系统默认支持的所有加密算法,包括弱加密算法

OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)_第2张图片

 3、解决

处理办法是在sshd_config中指定加密算法,把默认的CBC加密模式改成CTR,然后重启sshd服务

[root@localhost ~]# echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' >> /etc/ssh/sshd_config 
[root@localhost ~]# systemctl restart sshd

再查看一下目前系统支持的加密算法

 

你可能感兴趣的:(BUG,centos,linux,网络)