Debian openssh-server强迫命令处理信息泄露漏洞

文章由LinuxBoy分享于2019-04-02 07:04:30热评（167）

Debian openssh-server强迫命令处理信息泄露漏洞

发布日期：2012-04-25
更新日期：2012-04-26

受影响系统：
Debian openssh-server 1:5.5p1-6+squeeze1
AVAYA 96x1 IP Deskphone 6.2
AVAYA 96x1 IP Deskphone 6
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 53247
CVE ID: CVE-2012-0726,CVE-2012-0743

openssh-server软件包提供 sshd 服务器。

在OpenSSH 5.7之前版本中，其sshd内auth-options.c中的auth_parse_options函数提供了包含authorized_keys命令选项的调试信息，在实现上存在信息泄露漏洞，成功利用后可允许攻击者获取敏感信息。

<*来源：vendor

链接：https://downloads.avaya.com/css/P8/documents/100161262
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Debian
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.debian.org/security/

推荐文章：

Debian openssh-server强迫命令处理信息泄露漏洞