OpenSSH发现严重安全漏洞

美国CERT/CC及美国Internet Security Systems（ISS）等于当地时间6月26日宣布，免费的SSH（Secure Shell）软件套件“OpenSSH”中存在安全漏洞。

受此安全漏洞影响的是版本2.3.1至3.3。如果有人恶意使用此安全漏洞，则有可能在运行OpenSSH的服务器程序（sshd）的机器上远程运行任意程序。这些程序通过sshd的权限（通常为根权限）运行。

即使用户自己不曾安装OpenSSH，由于多数的OS都会捆绑OpenSSH，因而也需引起注意。Linux及FreeBSD、MacOS X、IBM AIX、Sun Solaris 9（会以“SunSSH”的名称捆绑）中都捆绑了OpenSSH（有关详细内容请参照OpenSSH的站点）。

可采取的对策为升级到版本3.4。该版本已在OpenSSH的站点上公布。同时，用户还可以通过该站点获得源代码的补丁。

据CERT/CC称，能恶意使用该安全漏洞的代码可能已经存在，因此呼吁系统管理员应该尽快采取对策。

暂时改变设置也可以避免受害。具体来讲，可以改变sshd的设置文件“sshd_config”，将造成该安全漏洞的挑战／反应（Challenge/Response）认证及PAM认证设置为无效。关于改变设置的方法，请参照CERT/CC等站点提供的信息。