OpenSSH 多个远程拒绝服务漏洞

发布日期：2011-09-21
更新日期：2014-07-23受影响系统：
OpenSSL Project OpenSSL <= 5.8
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 68757
CVE（CAN） ID: CVE-2010-4755

OpenSSH是SSH协议的开源实现。

OpenSSH 5.8及更早版本，sftp.c的process_put函数及sftp-glob.c的remote_glob函数存在安全漏洞，这可使经过身份验证的远程用户通过特制的不匹配任何路径名的glob表达式，利用此漏洞造成拒绝服务。相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞（CVE-2014-0160） http://www.linuxidc.com/Linux/2014-04/99741.htmOpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复 http://www.linuxidc.com/Linux/2014-04/99737.htmOpenSSL “heartbleed” 的安全漏洞 http://www.linuxidc.com/Linux/2014-04/99706.htm通过OpenSSL提供FTP+SSL/TLS认证功能，并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htm

<*来源：Maksymilian Arciemowicz （max@jestsuper.pl）
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cvsweb.netbsd.org/cgi-bin/cvsweb.cgi/src/crypto/dist/ssh/Attic/sftp-glob.c#rev1.13.12.1

http://cvsweb.netbsd.org/cgi-bin/cvsweb.cgi/src/crypto/dist/ssh/Attic/sftp.c#rev1.21.6.1OpenSSL 的详细介绍：请点这里
OpenSSL 的下载地址：请点这里