OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)

​

1、简述

      OpenSSH 是一种开放源代码的SSH协议的实现，初始版本用于OpenBSD平台，现在已经被移植到多种Unix/Linux类操作系统下，系统默认会选择CBC的加密模式。
      OpenSSH没有正确的处理分组密码加密算法的SSH会话所出现的错误，当在密码块链接 (CBC) 模式下使用块密码算法时，使远程攻击者更容易通过未知向量从SSH会话中的任意密文块中恢复某些明文数据。

2、查看加密算法
我们可以查看目前sshd支持的加密算法：man ssh_config

​

 首先查看当前加密算法都有哪些

使用nmap

nmap --script "ssh2*" ip地址

我们会看到当前系统默认支持的所有加密算法，包括弱加密算法

​

 3、解决

处理办法是在sshd_config中指定加密算法，把默认的CBC加密模式改成CTR，然后重启sshd服务

[root@localhost ~]# echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' >> /etc/ssh/sshd_config 
[root@localhost ~]# systemctl restart sshd

再查看一下目前系统支持的加密算法

​

 

​