项目介绍

Apache MINA SSHD 是一个 100% 纯 java 库,支持客户端服务器端的 SSH 协议。它的目的不是要替代 Unix 操作系统中的 SSH 客户端或 SSH 服务器,而是为需要 SSH 支持基于 Java应用程序提供支持

该库可以利用多个 I/O 后端:

项目地址

GitHub – apache/mina-sshd: Apache MINA sshd is a comprehensive Java library for client- and server-side SSH.

漏洞概述

Apache MINA SSHD <= 2.9.1 中的类 org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider 使用 Java 反序列化加载序列化java.security.PrivateKey。该类是使用 Apache MINA SSHD 的实现者可以选择的几种实现之一,用于加载 SSH 服务器主机密钥

影响版本

org.apache.sshd:sshdcommon@(-∞, 2.9.2)

环境搭建

下载部署即可

Release sshd-2.9.1 · apache/mina-sshd · GitHub

漏洞分析

根据漏洞分析可知source点为 SimpleGeneratorHostKeyProvider#doReadKeyPairs

 

函数调用readobject对SSH密钥进行反序列化,通过补丁信息交叉印证。

 

序列化后可以通过AbstractGeneratorHostKeyProvider#writeKeyPair 进一步获取ssh秘钥

控制流如下所示

 

版本完善对传入 keypair 变量的反序列化方式,使用Collections.singletonList来进行校验,并且

 

配置允许访问白名单

 

同时增加了对 keypath 是否存在及权限校验

 

由此可明确该漏洞writeKeyPair 未对传入keypath 进行校验从而导致不安全的反序列化

修复方式

对于 Apache MINA SSHD <= 2.9.1,不要使用 org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider 来生成和稍后加载服务器的主机密钥。使用单独生成的主机密钥文件,例如 OpenSSH 格式,并通过 org.apache.sshd.common.keyprovider.FileKeyPairProvider 加载它们。或者使用自定义实现而不是使用 OpenSSH 格式存储和加载主机密钥的 SimpleGeneratorHostKeyProvider(通过类 OpenSSHKeyPairResourceWriter 和 OpenSSHKeyPairResourceParser)

参考链接

CVE-2022-45047 – CVE.report
NVD – CVE-2022-45047
Better file handling for host keys · apache/mina-sshd@5a8fe83 · GitHub
[SSHD-1297] Provide KeyUtils.loadPublicKey() · apache/mina-sshd@63952e7 · GitHub

原文地址:https://blog.csdn.net/LJQClqjc/article/details/127928319

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如若转载,请注明出处:http://www.7code.cn/show_11067.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注