Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞（CVE-2002-20001）

漏洞编号	55005
漏洞名称	Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞（CVE-2002-20001）
漏洞分类	默认探测
出现次数	1
风险等级	▲高风险
概要
详细描述	Diffie-Hellman Key Agreement Protocol是一种密钥协商协议。它最初在 Diffie 和 Hellman 关于公钥密码学的开创性论文中有所描述。该密钥协商协议允许 Alice 和 Bob 交换公钥值，并根据这些值和他们自己对应的私钥的知识，安全地计算共享密钥K，从而实现进一步的安全通信。仅知道交换的公钥值，窃听者无法计算共享密钥。Diffie-Hellman Key Agreement Protocol 存在安全漏洞，远程攻击者可以发送实际上不是公钥的任意数字，并触发服务器端DHE模幂计算。
解决办法	目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：https://github.com/Balasys/dheater
CVE	CVE-2002-20001
CVSS	7.5
CNNVD	CNNVD-202111-1084
检测详情	服务信息 端口：22 | 服务：ssh | 协议：TCP 漏洞状态 新增 打印信息 diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256

1.通过man文档查看当前openssh版本支持的算法列表

man sshd_config |grep -A 40 -w KexAlgorithms

2.为了安全起见,建议将openssh所有支持的算法全都添加至KexAlgorithms后面,然后去除diffie相关算法,再去除系统不支持的算法

vi /etc/ssh/sshd_config

KexAlgorithms curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,[email protected]

3.重新加载配置,并检查sshd配置状态是否正确

#查看修改的sshd配置是否正确
/usr/sbin/sshd -t

#重新加载配置文件
systemctl daemon-reload

#重启sshd
service sshd restart

#查看当前sshd状态
systemctl status sshd.service

 至此ssh修改完成

4.测试方法:

安装nmap进行测试(其依赖于libssh2-1.9.0-2.xxx、libssh2-help-1.9.0-2.xxx)

nmap --script=ssh2-enum-algos 10.247.4.40

 如果没有diffie代表本次修改成功