OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)
1、简述
OpenSSH 是一种开放源代码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下,系统默认会选择CBC的加密模式。
OpenSSH没有正确的处理分组密码加密算法的SSH会话所出现的错误,当在密码块链接 (CBC) 模式下使用块密码算法时,使远程攻击者更容易通过未知向量从SSH会话中的任意密文块中恢复某些明文数据。
2、查看加密算法
我们可以查看目前sshd支持的加密算法:man ssh_config
首先查看当前加密算法都有哪些
使用nmap
nmap --script "ssh2*" ip地址我们会看到当前系统默认支持的所有加密算法,包括弱加密算法
3、解决
处理办法是在sshd_config中指定加密算法,把默认的CBC加密模式改成CTR,然后重启sshd服务
[root@localhost ~]# echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' >> /etc/ssh/sshd_config
[root@localhost ~]# systemctl restart sshd再查看一下目前系统支持的加密算法
