Openssh雙重釋放漏洞CVE-2023-25136
- CNNVD編號(hào):未知
- 危害等級(jí): 中危
- CVE編號(hào):CVE-2023-25136
- 漏洞類型: 雙重釋放
- 威脅類型:未知
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時(shí)間:2023-02-09
- 更新時(shí)間:2023-02-09
漏洞簡介
2023年2月3日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Openssh 組件存在雙重釋放漏洞的信息,漏洞編號(hào):CVE-2023-25136,漏洞威脅等級(jí):中危。
該漏洞是由于 options.kex_algorithms 內(nèi)存塊在處理期間可進(jìn)行兩次釋放,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行雙重釋放攻擊,最終造成拒絕服務(wù)攻擊導(dǎo)致服務(wù)器進(jìn)程終止。
漏洞公示
暫無
參考網(wǎng)站
https://blog.qualys.com/vulnerabilities-threat-research/2023/02/03/cve-2023-25136-pre-auth-double-free-vulnerability-in-openssh-server-9-1
受影響實(shí)體
Openssh 是多數(shù) Linux 發(fā)行版系統(tǒng)默認(rèn)的 SSH 協(xié)議實(shí)現(xiàn),由于其強(qiáng)大的功能被廣泛使用??赡苁苈┒从绊懙馁Y產(chǎn)廣泛分布于世界各地,此漏洞危險(xiǎn)等級(jí)為中危,僅影響 Openssh 9.1一個(gè)版本,涉及用戶較少,且實(shí)際攻擊受內(nèi)存分配保護(hù)機(jī)制影響不易成功。綜合漏洞影響力小。
目前受影響的Openssh 版本:
Openssh 9.1
補(bǔ)丁
當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:
http://www.openssh.com/