项目介绍
Apache MINA SSHD 是一个 100% 纯 java 库,支持客户端和服务器端的 SSH 协议。它的目的不是要替代 Unix 操作系统中的 SSH 客户端或 SSH 服务器,而是为需要 SSH 支持的基于 Java 的应用程序提供支持。
该库可以利用多个 I/O 后端:
- 内置默认传输,使用 Java 的AsynchronousSocketChannels.
- Apache MINA是一种可扩展的高性能异步 I/O 库,可以替代使用,或者
- 还支持 Netty 异步事件驱动网络框架
项目地址
漏洞概述
Apache MINA SSHD <= 2.9.1 中的类 org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider 使用 Java 反序列化加载序列化的 java.security.PrivateKey。该类是使用 Apache MINA SSHD 的实现者可以选择的几种实现之一,用于加载 SSH 服务器的主机密钥。
影响版本
org.apache.sshd:sshd–common@(-∞, 2.9.2)
环境搭建
Release sshd-2.9.1 · apache/mina-sshd · GitHub
漏洞分析
根据漏洞分析可知source点为 SimpleGeneratorHostKeyProvider#doReadKeyPairs
该函数调用readobject对SSH密钥进行反序列化,通过补丁信息可交叉印证。
反序列化后可以通过AbstractGeneratorHostKeyProvider#writeKeyPair 进一步获取ssh秘钥
新版本完善对传入 keypair 变量的反序列化方式,使用Collections.singletonList来进行校验,并且
由此可明确该漏洞因 writeKeyPair 未对传入keypath 进行校验从而导致不安全的反序列化。
修复方式
对于 Apache MINA SSHD <= 2.9.1,不要使用 org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider 来生成和稍后加载服务器的主机密钥。使用单独生成的主机密钥文件,例如 OpenSSH 格式,并通过 org.apache.sshd.common.keyprovider.FileKeyPairProvider 加载它们。或者使用自定义实现而不是使用 OpenSSH 格式存储和加载主机密钥的 SimpleGeneratorHostKeyProvider(通过类 OpenSSHKeyPairResourceWriter 和 OpenSSHKeyPairResourceParser)
参考链接
CVE-2022-45047 – CVE.report
NVD – CVE-2022-45047
Better file handling for host keys · apache/mina-sshd@5a8fe83 · GitHub
[SSHD-1297] Provide KeyUtils.loadPublicKey() · apache/mina-sshd@63952e7 · GitHub
原文地址:https://blog.csdn.net/LJQClqjc/article/details/127928319
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.7code.cn/show_11067.html
如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱:suwngjj01@126.com进行投诉反馈,一经查实,立即删除!