OpenSSH 'child_set_env()'函数安全限制绕过漏洞

OpenSSH 'child_set_env()'函数安全限制绕过漏洞

发布日期：2014-03-21
更新日期：2014-03-25

受影响系统：
OpenSSH OpenSSH < 6.6
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 66355
 CVE(CAN) ID: CVE-2014-2532
 
OpenSSH是SSH协议的开源实现。
 
OpenSSH 6.6之前版本的sshd没有正确支持sshd_config中AcceptEnv上的通配符，这可使远程攻击者通过在通配符之前使用子串，利用此漏洞绕过目标环境限制。
 
<*来源：Jann Horn
  *>

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
OpenSSH
 -------
 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
 
http://www.openssh.com/
http://marc.info/?l=openbsd-security-announce&m=139492048027313&w=2

OpenSSH 的详细介绍：请点这里
OpenSSH 的下载地址：请点这里

通过OpenSSH远程登录时的延迟问题解决

Ubuntu 12.10下OpenSSH的离线安装方法

OpenSSH升级步骤及注意事项详解

OpenSSH普通用户无法登录的几种情况的解决方法

通用线程: OpenSSH 密钥管理，第 1 部分理解 RSA/DSA 认证

RedHat安装OpenSSH和配置sftp锁定目录