当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

漏洞名称:OpenSSH <=7.2p1 xauth命令注入漏洞

     发表日期:2016-03-21 10:23:09

漏洞名称:OpenSSH <=7.2p1 xauth命令注入漏洞(CVE-2016-3115)
CVE ID:CVE-2016-3115
受影响系统:
OpenSSH OpenSSH 〈 7.1p2
详细信息:
 
OpenSSH是SSH协议的开源实现。
 
 
 
OpenSSH <=7.2p1在实现上存在xauth命令注入漏洞,可导致绕过forced-command及/bin/false。
 
 
漏洞来源:
tintinweb
解决方案:
厂商补丁:
 
OpenSSH
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
 
 
[1] http://www.openssh.com/
 
[2] https://github.com/openssh/openssh-portable/blob/5a0fcb77287342e2fc2ba1cee79b6af108973dc2/session.c#L1388
 
[3] https://github.com/openssh/openssh-portable/blob/19bcf2ea2d17413f2d9730dd2a19575ff86b9b6a/clientloop.c#L376
 
[4] http://linux.die.net/man/1/xauth
 
[5] http://www.openssh.com/txt/x11fwd.adv