我今天看到,OpenSSH存在一个严重漏洞 ,最新版本7.1p2修复了这个漏洞。 根据这个故事,你的私钥很容易被披露。
我正在使用最新的Amazon Linux AMI,并且所有内容都与Amazon的存储库保持最新。
[root@aws /]# ssh -V OpenSSH_6.6.1p1, OpenSSL 1.0.1k-fips 8 Jan 2015 以下是Amazon yum存储库中可用软件包的列表
yum list | grep openssh openssh.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates openssh-clients.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates openssh-server.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates openssh-keycat.x86_64 6.6.1p1-22.58.amzn1 amzn-updates openssh-ldap.x86_64 6.6.1p1-22.58.amzn1 amzn-updates
Amazon存储库似乎比OpenSSH更新落后了大约两年。 我已经读过一些供应商将端口升级到较旧版本的OpenSSH,所以这可能不是问题,或者亚马逊可能会尽快解决它。
问题:
是的,如果你使用攻击者可能控制的机器,那真的是一个问题。
在Amazon更新软件包之前,您可以通过在任何将使用ssh客户机的机器上添加UseRoaming no到/ etc / ssh / ssh_config行来阻止该bug的发生。