內容說明:
研究人員發現OpenSSH之金鑰暫存元件ssh-agent存在不帶引號搜尋路徑(Unquoted Search Path)漏洞(CVE-2023-38408),允許攻擊者透過SSH金鑰轉發機制,利用此漏洞達到遠端執行任意程式碼。
影響平台:
OpenSSH 5.5至9.3p1版本
處置建議:
請升級至OpenSSH 9.3p2(含)以上版本。
一、根據作業系統不同,可參考下列指令更新:
1.Ubuntu與Debian
apt-get update
apt-get upgrade openssh*
2.CentOS、RHEL、Fedora及OpenSUSE
yum update openssh -y
二、可參考以下網址下載更新檔並進行手動安裝
https://www.openssh.com/portable.html
參考資料:
1. https://thehackernews.com/2023/07/new-openssh-vulnerability-exposes-linux.html?&web_view=true
2. https://nvd.nist.gov/vuln/detail/CVE-2023-38408
3. https://www.openssh.com/security.html
4. https://www.openssh.com/txt/release-9.3p2
5. https://www.qualys.com/2023/07/19/cve-2023-38408/rce-openssh-forwarded-ssh-agent.txt
6. https://www.openssh.com/portable.html