发布日期：2004-03-23
更新日期：2004-03-29

受影响系统：

SSH Communications Security Tectia Server 4.0.4
SSH Communications Security Tectia Server 4.0.3

不受影响系统：

SSH Communications Security Tectia Server 4.0.5

描述：

---

BUGTRAQ  ID: 9956
CVE(CAN) ID: CVE-2003-1120

SSH Tectia Server是商业性质的SSH服务器平台，使用于多种银行，保险等企业。

SSH Tectia Server在密码更改机制上存在安全问题，本地攻击者可以利用这个漏洞获得私钥信息。

SSH Tectia Server (Unix) 4.0.3和4.0.4有密码更改机制，在用户验证阶段由于密码过期而执行"passwd"程序要求更改密码。其中存在一个未明问题，可访问系统的本地攻击者可获得系统的私钥。不过密码更改机制在应用中不是默认开启。

<*来源：SSH Communications Security
  
  链接：http://www.ssh.com/company/newsroom/article/520/
*>

建议：

---

厂商补丁：

SSH Communications Security
---------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

SSH Communications Security Upgrade SSH Tectia Server 4.0.5
http://www.ssh.com/support/downloads/tectia-server-unix/updates-and-packages-4-0.html

浏览次数：3164
严重程度：0（网友投票）