一、漏洞描述
OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。OpenSSH 6.x版本和7.x至7.3版本中的kex.c文件的kex_input_kexinit()函数存在内存耗尽问题,造成拒绝服务漏洞。远程攻击者/未经认证的客户端可通过发送许多重复的KEXINIT请求利用该漏洞,使服务器上每个连接的内存分配增加至384MB,使服务器的内存耗尽,造成拒绝服务攻击。注意:第三方报告称不将OpenSSH upstream视为安全漏洞。
影响产品:OpenSSH 6.8-7.3
危险级别:高危险
CVE编号:CVE-2016-8858
CNCVE编号:CNCVE-20168858
国家漏洞库编号:CNNVD-201610-679
CNVD编号:CNVD-2016-09674
更多参看:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8858
二、修复处理
官方建议用户对源代码进行升级