OpenSSH修补程序泄漏,可能会暴露私人SSH键
黑客探讨发动机控制单元,在排放丑闻中
亚马逊强季击败分析师的期望
Microsoft在GitHub上开辟了它的深度学习工具包
Barnet委员会审计发现一些人均服务缺乏
软件定义存储蒙纳士大学显微镜后面的电力
13近偏出?谷歌的自动驾驶统计数据没有重大挫折
微软将Skype与Slack集成到简化团队视频通话
Microsoft的Sway应用程序现在将从删除中保存您的努力工作
FAA已经注册了近300,000个无人机
RAYTHEON名称新的企业安全旋转力量
北欧公司将他们的门开放到科技创业公司
是的,英特尔的Skylake VPro芯片将支持Windows 7
新西兰希望英国和其他海外ICT专业人士填补技能差距
IBM的电力系统业务在多年来第一次增长
GDPR的D日是2018年5月25日
银行将视频银行视为客户满意度的关键
netflix打击代理服务器
旧金山数据分析早期公司指向第三波
公司,启动(混合)云:Azure Stack的第一个测试版即将到来
LastPass网络钓鱼攻击可能有钩住密码
奥巴马将为自动驾驶汽车研究要求40亿美元
谷歌将被要求向立法者解释“舒适”的英国税收
CIO采访:Henrik Iversen,Monjasa
Akamai报告提出了对英国宽带统计数据的问题
IBM财务挤压但云,移动,安全和分析显示增长
Maynooth大学现代网络满足增长挑战
使用Cortana,Microsoft在新的Windows 10间谍软件恐慌中是'scroogled'
旧金山拥有第一次自动车祸
这就是为什么Jaw-Dropping 200万台设备运行Microsoft Windows 10
华为和三星审判连通城市照明
经过许多承诺,Microsoft加速Windows 10预览交付
AT&T最新的商业折扣是2英尺的智能手机交易
对于Sendachi,创建一个敏捷公司是关于文化,而不是工具
到2019年,在NHS上进行免费Wi-Fi
CIO采访:Jean-Christophe Lalanne,Cio,Friance-KLM,为什么WAN赢得业务
IT部门认为英国可能会离开欧盟吗?
澳大利亚结束税收漏洞,准备从科技巨头抓住数百万美元
UCLH寻找战略技术合作伙伴
沙特阿拉伯可以温暖到云计算,只要监管和连接保持速度
BMW集团与水电供电的瑞典数据中心运营商签署HPC和托管协议
DWP在2012年中期,尽管坚持一切顺利,但仍然在2012年中获知
Crypto Ransomware Lurks在广告上的流行网站
Fiber AltNet B4RN可以获取代码权力来构建网络
调查说,公共部门IT领导人赌博数字项目
私人移动网络为ocado的机器人仓库提供权力
英国为怪物互联网监控网络支付数十亿美元
Gateshead NHS Trust使用数据可视化来提高性能
欧洲委员会为科学家创造67亿欧元的大陆云
NCA尝试“后门”访问获得活动家Lauri Love的密码
您的位置:首页 >科技 > 物联科技 >

OpenSSH修补程序泄漏,可能会暴露私人SSH键

2021-06-12 10:44:21 [来源]:

如果您使用openSSH客户端“重新连接到Secure Shell(SSH)协议上的服务器,则应立即更新该客户端。最新版本修补了一个可能允许流氓或受损服务器读取用户“私人身份验证密钥的漏洞。

该漏洞源于称为漫游的实验特征,允许恢复SSH连接。自从版本5.4自2010年3月发布以来,openssh客户端默认情况下已启用此功能,但不存在OpenSSH服务器实现。因此,只有客户受到影响。

该漏洞允许服务器从连接客户端的存储器中读取信息,包括其私钥。它已在星期四发布的Openssh 7.1p2中得到了固定的。

一个可能的缓解是将未记录的配置选项“Useroaming No”添加到全局SSH_CONFIG文件。

由于SSH的工作方式,在身份验证之前通过客户端加密检查服务器的身份,中间人攻击者无法利用此漏洞。

这意味着攻击者要么必须说服用户连接到流氓服务器或危害合法的SSH服务器,然后窃取其用户“私人身份验证密钥。根据发现漏洞的安全公司Qualys的研究人员,后一种情况是更有可能的。

SSH允许基于公钥加密验证,事实上,这是最安全和最优选的选项。客户端首先生成私有和公钥对。公钥与服务器共享,私钥仅在客户端上存储并用于证明用户的身份。

盗窃用户“通过此漏洞的私有SSH键可以使攻击者持续访问通过其他方式泄露的服务器。即使要识别和修复黑客使用的初始入口点,它们仍将具有以合法用户身份登录的SSH键。

此外,有些人在多个服务器中重复使用他们的SSH键,就像有些人在多个网站中重用他们的密码一样。这意味着用户的SSH密钥的妥协可以将多个服务器处于风险之中。

“这种信息泄漏可能已经通过复杂的攻击者在野外被利用,高调的网站或用户可能需要相应地重新生成他们的SSH键,”Qualys研究人员在咨询中表示。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。