OpenSSH do_setup_env函數權限提升漏洞(CVE-2015-8325)

發布日期：2016-05-02

更新日期：2016-05-04

受影響系統：OpenSSH OpenSSH < 7.2p2

描述：

CVE(CAN) ID: CVE-2015-8325

OpenSSH是SSH協議的開源實現。

OpenSSH 7.2p2之前版本, sshd/ session.c/ do_setup_env函數存在安全漏洞, 啟用了UseLogin功能且PAM配置為讀取用戶主目錄內的 .pam_environment文件后, 本地用戶通過觸發/bin/login程序構造的環境, 可提升其權限。

*>

建議：

廠商補丁：

OpenSSH

-------

目前廠商已經發布了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://www.openssh.com/

https://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-8325.html

https://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-8325.html

https://security-tracker.debian.org/tracker/CVE-2015-8325

https://anongit.mindrot.org/openssh.git/commit/?id=85bdcd7c92fe7ff133bbc4e10a65c91810f88755

更多OpenSSH相關內容可以查看以下的有用鏈接：

在Ubuntu Server 13.10系統中安裝配置OpenSSH http://www.linuxidc.com/Linux/2014-02/96953.htm

Ubuntu安裝遠程登錄OpenSSH服務 http://www.linuxidc.com/Linux/2014-02/97218.htm

通過OpenSSH遠程登錄時的延遲問題解決 http://www.linuxidc.com/Linux/2013-07/86879.htm

Ubuntu 12.10下OpenSSH的離線安裝方法 http://www.linuxidc.com/Linux/2013-04/82814.htm

OpenSSH升級步驟及注意事項詳解 http://www.linuxidc.com/Linux/2013-04/82123.htm

OpenSSH普通用戶無法登錄的幾種情況的解決方法 http://www.linuxidc.com/Linux/2012-05/59457.htm

通用線程: OpenSSH 密鑰管理，第 1 部分理解 RSA/DSA 認證 http://www.linuxidc.com/Linux/2011-08/39871.htm

RedHat安裝OpenSSH和配置sftp鎖定目錄 http://www.linuxidc.com/Linux/2012-12/75398.htm

本文永久更新鏈接地址：http://www.linuxidc.com/Linux/2016-05/1301000.htm

TAG：

除非注明，文章均由 Linux系統學習 整理發布，歡迎轉載。如有版權爭議，請聯系刪除。

總結

以上是生活随笔為你收集整理的linux ssh权限漏洞,OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8325)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。