OpenSSH存在多个漏洞。远程已认证的服务器或可从OpenSSH客户端的内存中获取敏感数据或在目标客户端系统上执行任意程序代码。当OpenSSH客户连接到恶意的OpenSSH服务器或可导致私人密钥泄露或执行任意程序代码。
> OpenSSH 5.4至7.1p1版本
采用OpenSSH作远程访问的系统如Linux或网络设备也可能受到影响
成功利用这些漏洞可以进行中间人攻击或控制受影响的系统。
有关漏洞已在OpenSSH 7.1p2版本中修复。采用OpenSSH作远程访问的系统如Linux或网络设备的用户应联络产品供货商以确认目前使用中的OpenSSH版本是否受有关问题影响。如受到影响,用户应更新至已修补的版本或遵从产品供货商的建议以降低风险。作为一个良好的作业实务,特权帐户如管理员户口应定期更改密码。另外,如用户的私人密钥怀疑已被泄露,应重新产生密钥。
http://www.openssh.com/txt/release-7.1p2
https://www.us-cert.gov/ncas/current-activity/2016/01/14/OpenSSH-Client-Vulnerability
https://www.hkcert.org/my_url/zh/alert/16011501
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0777 (至 CVE-2016-0778)