发布日期：2006-09-20
更新日期：2006-09-27

受影响系统：

OpenSSH OpenSSH 4.x
OpenSSH OpenSSH 3.x

描述：

---

BUGTRAQ  ID: 20216
CVE(CAN) ID: CVE-2006-4924

OpenSSH是一种开放源码的SSH协议的实现，初始版本用于OpenBSD平台，现在已经被移植到多种Unix/Linux类操作系统下。

OpenSSH在处理ssh报文中多个完全一样的块时存在拒绝服务漏洞，如果启用了ssh协议1的话，则远程攻击者就可以通过发送特制的ssh报文耗尽CPU资源。

<*来源：Tavis Ormandy （taviso@gentoo.org）
  
  链接：http://secunia.com/advisories/22091/
*>

建议：

---

厂商补丁：

OpenSSH
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/deattack.c.diff?r1=1.29&r2=1.30&sortby=date&f=h
http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/packet.c.diff?r1=1.143&r2=1.144&sortby=date&f=h
http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/deattack.h.diff?r1=1.9&r2=1.10&sortby=date&f=h

浏览次数：7826
严重程度：0（网友投票）