OpenSSH修补程序泄漏,可能会暴露私人SSH键 GDS任命公共服务网络头 主要科技公司在2015年在游说中花费了数百万美元 FBI推迟法庭日期与Apple测试iPhone黑客 首席执行官Natalie Ceeney退出法院服务 CIO采访:John Lewis的Paul Coby说,零售过去的未来指南 Microsoft在GitHub上开辟了它的深度学习工具包 亚马逊已经注册,提供海运服务 2016年英国最有影响力的女性:进入名人堂的参赛者 刑事指控提起了两个L.A.寄生虫飞行员 想要采用区块链?面板说,更好的开始玩 以色列公司扰乱移动技术 IT工人前进的新工作现实 BlackPool成为第三次NHS信任,以获得开源EPR NHS 24由于患者安全而放弃了11700万英镑的IT系统 Petspyjamas CEO说,每个人都应该是一名酋长官 为什么开源是大数据的“新普通” 英特尔填充需要移动速度与其新的Skylake,Xeon Chips 三是“卖”O2收购的新尝试 Windows Phone现在可以使用英特尔X86芯片在智能手机上工作 黑客探讨发动机控制单元,在排放丑闻中 Informatica推出大数据管理平台 意大利唤醒了新的IOT机会 超过10%的IT工人在男性主导的环境中使用 Martha Lane Fox呼吁NHS提供免费Wi-Fi并建立数字技能 比尔盖茨矛头气候变化举措 2015年十大NHS IT故事 CIO采访:软件扰乱业务流程的力量 钢铁公司获得全球OPS的Panzura混合云存储 Raytheon-Websense表示,网络保险可能会推动更好的安全性 三星同意支付54800万美元来解决苹果争议 2015年十大业务应用程序故事 英国和爱沙尼亚推出TechLink计划 Hybrid Flash Maker Nexgen推出N5分层All-Flash 努力过渡到数字时代的企业 NAO报告说,农村支付问题导致成本增加40% 2016年北欧CIO的首要任务 首席执行官Meg Whitman表示,HPE将使用其经验帮助客户提供并购的客户 Hewlett Packard Enterprise与Microsoft联系,推动混合云 与ICT Masterplan的东盟仔细合作 东骑约克夏委员会获得数字客户服务平台 2015年十大云计算故事 政府仍然没有满足FTTP的需求 ICO重申呼吁更强大的数据盗窃句子 法院规则康沃尔议会可以终止BT外包交易 富士通英国首席执行官在电视上呼吁更多茎 CIO采访:Simon Rose,IT Digital Cinema Media It Director总监 财务流失仍然不是英国IT决策者的优先事项 Yeovil医院获取患者的在线预订系统 IBM对业务部门的Watson对IoT开发
您的位置:首页 >开发 >

OpenSSH修补程序泄漏,可能会暴露私人SSH键

如果您使用openSSH客户端“重新连接到Secure Shell(SSH)协议上的服务器,则应立即更新该客户端。最新版本修补了一个可能允许流氓或受损服务器读取用户“私人身份验证密钥的漏洞。

该漏洞源于称为漫游的实验特征,允许恢复SSH连接。自从版本5.4自2010年3月发布以来,openssh客户端默认情况下已启用此功能,但不存在OpenSSH服务器实现。因此,只有客户受到影响。

该漏洞允许服务器从连接客户端的存储器中读取信息,包括其私钥。它已在星期四发布的Openssh 7.1p2中得到了固定的。

一个可能的缓解是将未记录的配置选项“Useroaming No”添加到全局SSH_CONFIG文件。

由于SSH的工作方式,在身份验证之前通过客户端加密检查服务器的身份,中间人攻击者无法利用此漏洞。

这意味着攻击者要么必须说服用户连接到流氓服务器或危害合法的SSH服务器,然后窃取其用户“私人身份验证密钥。根据发现漏洞的安全公司Qualys的研究人员,后一种情况是更有可能的。

SSH允许基于公钥加密验证,事实上,这是最安全和最优选的选项。客户端首先生成私有和公钥对。公钥与服务器共享,私钥仅在客户端上存储并用于证明用户的身份。

盗窃用户“通过此漏洞的私有SSH键可以使攻击者持续访问通过其他方式泄露的服务器。即使要识别和修复黑客使用的初始入口点,它们仍将具有以合法用户身份登录的SSH键。

此外,有些人在多个服务器中重复使用他们的SSH键,就像有些人在多个网站中重用他们的密码一样。这意味着用户的SSH密钥的妥协可以将多个服务器处于风险之中。

“这种信息泄漏可能已经通过复杂的攻击者在野外被利用,高调的网站或用户可能需要相应地重新生成他们的SSH键,”Qualys研究人员在咨询中表示。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。