全部产品
云市场

【漏洞公告】OpenSSH SFTP 远程溢出漏洞

更新时间:2017-11-17 16:30:56

漏洞描述

Linux 用户常用 OpenSSH 中的 SFTP 来进行上传和下载。但是,OpenSSH SFTP 存在远程溢出漏洞。

如果 OpenSSH 服务器中没有配置 ChrootDirectory,普通用户就可以访问所有文件系统的资源,包括 /proc。而在 2.6.x 及以上版本的 Linux 内核中,/proc/self/maps会显示当前内存布局,/proc/self/mem则允许在当前进程上任意位置读写,攻击者结合这两个特性可以发动远程溢出攻击。

受影响版本

OpenSSH <= 6.6

修复方案

通过官方渠道,升级 OpenSSH 至最新版本。

参考信息:http://seclists.org/fulldisclosure/2014/Oct/35