OpenSSH存在多個漏洞。遠端已認證的伺服器或可從OpenSSH客戶端的記憶體中獲取敏感資料或在目標客戶端系統上執行任意程式碼。當OpenSSH客戶連接到惡意的OpenSSH伺服器或可導致私人密鑰洩露或執行任意程式碼。
> OpenSSH 5.4至7.1p1版本
採用OpenSSH作遠端存取的系統如Linux或網絡設備也可能受到影響。
成功利用這些漏洞可以進行中間人攻擊或控制受影響的系統。
有關漏洞已在OpenSSH 7.1p2版本中修復。採用OpenSSH作遠端存取的系統如Linux或網絡設備的用戶應聯絡產品供應商以確認目前使用中的OpenSSH版本是否受有關問題影響。如受到影響,用戶應更新至已修補的版本或遵從產品供應商的建議以降低風險。作為一個良好的作業實務,特權帳戶如管理員戶口應定期更改密碼。另外,如用戶的私人密鑰懷疑已被洩露,應重新產生密鑰。
http://www.openssh.com/txt/release-7.1p2
https://www.us-cert.gov/ncas/current-activity/2016/01/14/OpenSSH-Client-Vulnerability
https://www.hkcert.org/my_url/zh/alert/16011501
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0777 (至 CVE-2016-0778)