![[ 永远的UNIX::UNIX技术资料的宝库 ]](/images/title.gif)
|
| 首页 > 安全技术 > 网络 > 正文 |
 |
| SSH protocol 1.5 会话密钥可被恢复 |
| http://www.nsfocus.com/ (2001-05-21 10:08:01) |
受影响的系统:
所有支持SSH协议1.5密钥交换的SSH版本
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID : 2344
SSH 被广泛应用於客户端-服务器应用程序之间进行加密网络通信。
为了确保客户端与服务器之间的资料交换是安全的,在客户端与
SSH服务器之间进行密钥交换和认过程时采用了对称算法。
如果攻击者可以获得某一连接的所有加密报文,他要想得到真正有用的资料,
他必须能够做到下面两个条件中的一条:
. 即使没有会话密钥,也可以进行解密 (这相当於破解所用的加密所算法)
. 利用实现上的某些问题来获取会话密钥,然再来进行解密。
SSH 1.5使用PKCS#1_1.5的公开密钥加密标准来进行客户端与服务器的密钥交换。
David Bleichenbacher发现PKCS#1_1.5算法存在安全问题,可以恢复任意的会话
密钥。
因此攻击者如果可以监听客户端与服务器(正在使用SSH 1.5进行加密通信)之间
的网络传输,他就可以进行解密密文。潜在地可能导致远程服务器被入侵。
<*来源:Ariel Waissbein , Agustin Azubel of CORE SDI
http://www.core-sdi.com/advisories/ssh1_sessionkey_recovery.htm
*>
--------------------------------------------------------------------------------
建议:
厂商补丁:
OpenSSH : 级到2.3.0以上的版本
www.openssh.com
SSH.com : SSH1不再被SSH公司支持,级到SSH2的最新版本
(http://www.fanqiang.com)
进入【UNIX论坛】
|
|
| 相关文章 |
如何使用SSH的Port Forwarding加密不安全的服务 (2001-09-12 12:00:00)
SSH使用及协议分析 (2001-09-12 07:00:01)
远程连接(telnet/ftp/rsh/ssh)作为root的用法和总结 (2001-09-02 13:05:00)
安装配置SSH(Secure Shell) (2001-06-25 17:04:00)
SSH protocol 1.5 会话密钥可被恢复 (2001-05-21 10:08:01)
如何在 Linux 上安装、使用 SSH2 (2001-05-10 20:28:41)
How to Run SSH2 on RedHat 6.2 (2001-04-21 18:05:54)
Linux系统中OpenSSH的安装和配置 (2001-04-19 16:14:25)
|
|
|
|
|
★ 樊强制作 欢迎分享 ★ |