![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 安全技術 > 網絡 > 正文 |
 |
| SSH protocol 1.5 會話密鑰可被恢復 |
| http://www.nsfocus.com/ (2001-05-21 10:08:01) |
受影響的系統:
所有支持SSH協議1.5密鑰交換的SSH版本
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID : 2344
SSH 被廣泛應用於客戶端-服務器應用程序之間進行加密網絡通信。
為了確保客戶端與服務器之間的資料交換是安全的,在客戶端與
SSH服務器之間進行密鑰交換和認過程時採用了對稱算法。
如果攻擊者可以獲得某一連接的所有加密報文,他要想得到真正有用的資料,
他必須能夠做到下面兩個條件中的一條:
. 即使沒有會話密鑰,也可以進行解密 (這相當於破解所用的加密所算法)
. 利用實現上的某些問題來獲取會話密鑰,然再來進行解密。
SSH 1.5使用PKCS#1_1.5的公開密鑰加密標準來進行客戶端與服務器的密鑰交換。
David Bleichenbacher發現PKCS#1_1.5算法存在安全問題,可以恢復任意的會話
密鑰。
因此攻擊者如果可以監聽客戶端與服務器(正在使用SSH 1.5進行加密通信)之間
的網絡傳輸,他就可以進行解密密文。潛在地可能導致遠程服務器被入侵。
<*來源:Ariel Waissbein , Agustin Azubel of CORE SDI
http://www.core-sdi.com/advisories/ssh1_sessionkey_recovery.htm
*>
--------------------------------------------------------------------------------
建議:
廠商補丁:
OpenSSH : 級到2.3.0以上的版本
www.openssh.com
SSH.com : SSH1不再被SSH公司支持,級到SSH2的最新版本
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
如何使用SSH的Port Forwarding加密不安全的服務 (2001-09-12 12:00:00)
SSH使用及協議分析 (2001-09-12 07:00:01)
遠程連接(telnet/ftp/rsh/ssh)作為root的用法和總結 (2001-09-02 13:05:00)
安裝配置SSH(Secure Shell) (2001-06-25 17:04:00)
SSH protocol 1.5 會話密鑰可被恢復 (2001-05-21 10:08:01)
如何在 Linux 上安裝、使用 SSH2 (2001-05-10 20:28:41)
How to Run SSH2 on RedHat 6.2 (2001-04-21 18:05:54)
Linux系統中OpenSSH的安裝和配置 (2001-04-19 16:14:25)
|
|
|
|
|
★ 樊強制作 歡迎分享 ★ |