1. 通告信息

近日，安识科技A-Team团队监测到OpenSSH Server版本9.1中存在一个双重释放漏洞，漏洞编号：CVE-2023-25136，漏洞等级：高危。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

漏洞名称：OpenSSH双重释放漏洞

CVE编号：CVE-2023-25136

简述：OpenSSH server (sshd) 9.1在options.kex_algorithms处理过程中错误地引入了一个双重释放漏洞，可能导致在未经身份验证的情况下在OpenSSH server (sshd)的默认配置中触发双重释放。

3. 漏洞危害

OpenSSH是SSH（Secure SHell）协议的开源实现，它通过不安全的网络在两个不受信任的主机之间提供安全的加密通信。OpenSSH 广泛用于基于Unix 的系统，通常用于安全远程登录和远程文件传输，以及其它网络服务。

该漏洞可能会导致应用程序崩溃，信息泄露，任意代码执行等后果。

4. 影响版本

OpenSSH版本  9.1

5. 解决方案

目前该漏洞已经修复，受影响用户可升级到 OpenSSH 9.2。

下载链接：https://www.openssh.com/

6. 时间轴

【-】2023年02月05日 安识科技A-Team团队监测到漏洞公布信息

【-】2023年02月06日 安识科技A-Team团队根据漏洞信息分析

【-】2023年02月07日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/195421.html