OpenSSH 远程代码执行漏洞（CVE-2016-10009）

OpenSSH 远程代码执行漏洞（CVE-2016-10009）
发布日期：2016-12-20
更新日期：2016-12-27

受影响系统：

OpenSSH OpenSSH <= 7.3

不受影响系统：

OpenSSH OpenSSH 7.4

描述：

BUGTRAQ ID: 94968
CVE（CAN） ID: CVE-2016-10009

OpenSSH 是一组用于安全地访问远程计算机的连接工具。

OpenSSH < 7.4版本ssh-agent未对加载的 PKCS#11 模块进行验证，在实现上存在任意执行代码漏洞。可使攻击者在受影响应用上下文中执行任意代码。

<*来源：Jann Horn
*>

建议：

厂商补丁：

OpenSSH
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.openssh.com/txt/release-7.4
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/ssh-agent.c.diff？r1=1.214&r2=1.215