Openssh雙重釋放漏洞CVE-2023-25136
- CNNVD編號:未知
- 危害等級: 中危
- CVE編號:CVE-2023-25136
- 漏洞類型: 雙重釋放
- 威脅類型:未知
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時間:2023-02-09
- 更新時間:2023-02-09
漏洞簡介
2023年2月3日,深信服安全團隊監(jiān)測到一則 Openssh 組件存在雙重釋放漏洞的信息,漏洞編號:CVE-2023-25136,漏洞威脅等級:中危。
該漏洞是由于 options.kex_algorithms 內(nèi)存塊在處理期間可進行兩次釋放,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行雙重釋放攻擊,最終造成拒絕服務攻擊導致服務器進程終止。
漏洞公示
暫無
參考網(wǎng)站
https://blog.qualys.com/vulnerabilities-threat-research/2023/02/03/cve-2023-25136-pre-auth-double-free-vulnerability-in-openssh-server-9-1
受影響實體
Openssh 是多數(shù) Linux 發(fā)行版系統(tǒng)默認的 SSH 協(xié)議實現(xiàn),由于其強大的功能被廣泛使用。可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,此漏洞危險等級為中危,僅影響 Openssh 9.1一個版本,涉及用戶較少,且實際攻擊受內(nèi)存分配保護機制影響不易成功。綜合漏洞影響力小。
目前受影響的Openssh 版本:
Openssh 9.1
補丁
當前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:
http://www.openssh.com/
