OpenSSH < 9.3多重脆弱性

关键值Nessus插件号173384

语言 :

简表

ssh服务器运行远程主机受多重漏洞影响

描述性

OpenSSH远程主机安装版比9.3前受发布-9.3咨询中引用的多重漏洞影响

ssh-add(1):向ssh代理添加智能卡键时(1)
OpenSSH8.9中添加逻辑错误避免约束传递代理结果是无约束地添加密钥非智能键免目的地约束的常见案例不受影响(CVE-2023-28531)

ssh(1):可移植OpenSSH提供gerrsetbyname(3)函数实现,如果标准库不提供它,供VervationHostKeyDNS特征使用特制dNS响应可能导致函数外读相邻栈数据,但除拒绝 ssh(1)客户服务外,该条件似乎不可利用gerrsetbyname(3)替换仅包括系统标准库缺少函数和可移植OpenSSH没有编译入lds库gerrsetbyname(3)只有在使用VervationHostKeyDNS获取SSHP记录时才引用

注意Nessus没有测试这些问题,而是只依赖应用自报版号

求解

OpenSSH版本9.3或后升级

并见

https://www.openssh.com/txt/release-9.3

插件细节

严重性 :临界点

身份证 :173384

文件名 :stopsh-93.nasl

版本化 :1.2

类型 :远程

家庭问题 :杂类

发布 :324/2023

更新 :7/2023

配置 :激活偏执模式

风险信息

VPR

风险因子 :中度

分数 :5点9分

CVSS v2

风险因子 :临界点

基础评分 :10

时间评分 :7.4

向量 :CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS评分源 :CVE2023-2853

CVSSv3

风险因子 :临界点

基础评分 :九点八

时间评分 :8.5

向量 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间向量 :CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE系统 :cpe:/a:openbsd:openssh

需要kb项 :Settings/ParanoidReport

开发易斯 :无已知利用

补丁发布日期 :3/15/2023

漏洞发布日期 :3/15/2023

参考信息

CVE系统 :CVE2023-2853

IAVA系统 :2023-A-0152-S