< OS 有关 > SSH 升级 修复两个漏洞: MitM攻击 预身份验证拒绝服务漏洞

已于 2025-02-19 13:01:55 修改
阅读量508 收藏 2
点赞数 13
分类专栏: OS有关 文章标签: 服务器 运维 SSH 服务器
于 2025-02-19 12:59:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/davenian/article/details/145726672
版权

漏洞信息:

编号为 CVE-2025-26465

影响 OpenSSH 客户端, 当启用“VerifyHostKeyDNS”选项时,黑客可以执行 MitM 攻击。攻击者可以通过在验证期间强制出现内存不足错误来诱骗客户端接受恶意服务器的密钥。

编号为 CVE-2025-26466

密钥交换期间,攻击者可以重复发送小型 16 字节 ping 消息,这会迫使 OpenSSH 缓冲 256 字节响应而不受立即限制,从而导致过多的内存消耗和 CPU 过载,低性能主机可能会系统崩溃。

解决:

安装刚发行的 9.9p2 版本。 尽快升级。

例: Ubuntu 升级:

sudo apt update
sudo apt upgrade -y

安装时,要选择:保留当前的本地版本的配置文件   "keep the local version currently installed"

我的主机执行 systemctl restart sshd 有问题,需重启。

OpenSSH9.9版本升级
Fadess的博客
01-10 1718
Openssl升级、Openssh升级
openssh-9.9p2-kylinv10-aarch64.tgz
02-25
openssh 9.9p2版本,修复安全漏洞,适用于银河麒麟v10 arm架构芯 2025年2月25日制作
升级openssh,解决漏洞CVE-2025-26465 和 CVE-2025-26466
mosaicwang的博客
02-21 925
openssh漏洞 CVE-2025-26465 CVE-2025-26466
openssh9.9p2部分Linux操作系统的rpm包
forestqq的博客
02-25 731
以下为本人2025年2月25日编译的openssh9.9p2包。
CVE-2025-26466CVE-2025-26465离线修复方案(老版本升级方案)
最新发布
baidu_25691461的博客
03-28 521
OpenSSH(OpenBSD Secure Shell)是加拿大 OpenBSD 计划组的一套用于安全。OpenSSH(OpenBSD Secure Shell)是加拿大 OpenBSD 计划组的一套用于安全。传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。该工具是 SSH 协议的开源实现,支持对所有的。该工具是 SSH 协议的开源实现,支持对所有的。打开/etc/ssh/sshd_config找到82行并注释。
OpenSSH漏洞使SSH服务器易受中间人和DoS 攻击
smellycat000的专栏
02-19 534
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OpenSSH 发布安全更新,修复了一个中间人攻击和一个拒绝服务 (DoS) 漏洞,其中一个在十几年前就被引入。这两个漏洞由 Qualys 公司发现,该公司还向OpenSSH的维护人员演示了其可利用性。OpenSSHSSH协议的免费开源实现,为通过不可信网络进行的安全远程访问、文件传输和隧道提供加密通信。它是全球使用最广泛的工具之一,广泛用于企...
OpenSSH CVE-2025-26466 漏洞解析与防御,从零基础到精通,收藏这篇就够了!
Libra1313的博客
03-17 1263
CVE-2025-26466 是一个影响 OpenSSH身份验证拒绝服务(DoS漏洞。它通过操纵 SSH 握手过程来消耗系统资源,导致系统崩溃或服务中断。
Centos中openssh升级9.9p2全详细教学
qq_51920683的博客
03-13 1167
um源如果用不了,问当地是否有自己的yum源,并且配置,如果没有自己下载相应的依赖包并且安装。,使用安装包里自带的sshd.init,复制到/etc/init.d/sshd,重启即可。注意:telnet服务属于不安全的远程连接服务,ssh正常后,此服务需要卸载。最好先查看下方sshd是否启用,谨慎重启sshd,如果没有的话,进行下方操作。linux下telnet服务在默认情况下root无法登录,普通账号可以登录。以便openssh升级失败无法远程!如果登录的用户比较多,可能需要更多的。上方命令为解压所有.
Openssh 最新漏洞修复指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
03-07 1401
近期安全扫描发现,OpenSSH(OpenBSD Secure Shell) 9.7p1及之前版本中存在多个漏洞,影响大部分开源版本,如下所示,更多参看版本说明和厂商安全公告受影响版本漏洞编号漏洞说明修复版本OpenSSH 9.7p1及之前版本其中,scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
OpenSSH9.7升级至OpenSSH9.9(openssh7以后所有版本升级均可使用该方法)
m0_71142057的博客
09-25 1767
openssh因为漏洞经常要进行升级,以下为实测可行的操作步骤
centos8的openssh9.9p2 RPM包,解决漏洞CVE-2025-26465 和 CVE-2025-26466
03-04
里面包含了升级包、升级注意事项等文件 openssh-9.9p2-1.el8.x86_64.rpm openssh-clients-9.9p2-1.el8.x86_64.rpm openssh-server-9.9p2-1.el8.x86_64.rpm centos8升级openssh9.9p2.docx
强化系统安全:付费电表管理的网络攻击防护策略
本文首先分析了付费电表技术原理、工作机制和系统架构,随后深入探讨了该系统可能面临的网络攻击类型及安全威胁,并强调了安全漏洞的潜在风险。在理论基础部分,本文阐述了网络安全的基本概念、安全性三要素、防御...
SSH模型深度解析与应用回顾
SSH有多个版本,主要分为SSH-1和SSH-2两个版本家族。SSH-1存在许多安全漏洞,目前已经很少使用。大多数现代系统使用的SSH版本是SSH-2,它在安全性上做了许多改进,包括增加了更多的加密算法和认证机制。 ### SSH的...
【PCI安全升级必修课】:掌握R2.3规范中的数据保护关键策略
[【PCI安全升级必修课】:掌握R2.3规范中的数据保护关键策略](http://www.pcidssguide.com/wp-content/uploads/2020/09/pci-dss-requirement-2-1024x542.jpg) # 摘要 随着数据安全和隐私保护的日益重要,本文对PCI...
网络安全专业名词解释
aixmmmlll的博客
05-16 4250
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
网络安全协议形式化分析:Tamarin实战演练指南
通过分析Tamarin在安全协议分析中的应用,例如TLS和SSH协议的分析,文章揭示了该工具在攻击模型与防御策略形式化描述中的有效运用。最后,本文探讨了Tamarin的高级应用与优化技巧,以及在工业界的应用前景和未来发展...
CVE-2022-22965
a666666688的博客
08-10 404
【代码】CVE-2022-22965。
ssh客户端
教Linux的李老师
08-31 2662
ssh服务Redhat或Centos安装ssh启动sshd服务编辑ssh配置文件自定义ssh端口禁止使用密码登陆sshssh免密码登陆生成密钥将密钥上传到服务器非22端口的解决办法方法1方法2ssh-agent管理密钥ssh登陆服务器 主配置文件: /etc/服务名称/服务名称.conf Redhat或Centos安装ssh #yum安装ssh $ sudo yum install openssh-server -y #启动sshd服务 $ sudo systemctl start sshd #设置ssh
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值