Openssh雙重釋放漏洞CVE-2023-25136
  • CNNVD編號(hào):未知
  • 危害等級(jí): 中危 
  • CVE編號(hào):CVE-2023-25136
  • 漏洞類型: 雙重釋放
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來源:深信服
  • 發(fā)布時(shí)間:2023-02-09
  • 更新時(shí)間:2023-02-09

漏洞簡介

2023年2月3日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Openssh 組件存在雙重釋放漏洞的信息,漏洞編號(hào):CVE-2023-25136,漏洞威脅等級(jí):中危。

該漏洞是由于 options.kex_algorithms 內(nèi)存塊在處理期間可進(jìn)行兩次釋放,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行雙重釋放攻擊,最終造成拒絕服務(wù)攻擊導(dǎo)致服務(wù)器進(jìn)程終止。

漏洞公示

暫無

參考網(wǎng)站

https://blog.qualys.com/vulnerabilities-threat-research/2023/02/03/cve-2023-25136-pre-auth-double-free-vulnerability-in-openssh-server-9-1

受影響實(shí)體

Openssh 是多數(shù) Linux 發(fā)行版系統(tǒng)默認(rèn)的 SSH 協(xié)議實(shí)現(xiàn),由于其強(qiáng)大的功能被廣泛使用??赡苁苈┒从绊懙馁Y產(chǎn)廣泛分布于世界各地,此漏洞危險(xiǎn)等級(jí)為中危,僅影響 Openssh 9.1一個(gè)版本,涉及用戶較少,且實(shí)際攻擊受內(nèi)存分配保護(hù)機(jī)制影響不易成功。綜合漏洞影響力小。
目前受影響的Openssh 版本:
Openssh 9.1

補(bǔ)丁

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:
http://www.openssh.com/