鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】OpenSSH 权限提升误差 (CVE-2021-41617)

宣布时间 2021-09-27

0x00 误差概述

CVE ID	CVE-2021-41617	时间	2021-09-26
类型	权限提升	等级	高危
远程使用		影响规模	6.2 - 8.7
攻击重漂后		可用性
用户交互		所需权限
PoC/EXP		在野使用	否

0x01 误差详情

OpenSSH 是 SSH （Secure SHell）协议的免费开源实现。。。。。。

2021年9月26日，，，，，，OpenSSH项目宣布了OpenSSH 8.8清静更新，，，，，，修复了OpenSSH 6.2 到 8.7版本中的 sshd(8)中的一个权限提升误差（CVE-2021-41617）。。。。。。

当sshd(8) 在执行 AuthorizedKeysCommand 或 AuthorizedPrincipalsCommand 时，，，，，，未能准确地初始化，，，，，，其中AuthorizedKeysCommandUser 或 AuthorizedPrincipalsCommandUser 指令被设置为以非root用户身份运行。。。。。。相反，，，，，，这些下令将继续 sshd(8) 启动时的组的权限，，，，，，凭证系统设置的差别，，，，，，继续的组可能会让辅助程序获自得外的权限，，，，，，导致权限提升。。。。。。

在 sshd_config(5) 中，，，，，，AuthorizedKeysCommand 和 AuthorizedPrincipalsCommand 都没有被默认启用。。。。。。

影响规模

OpenSSH 版本6.2 - 8.7

0x02 处置惩罚建议

现在此误差已经修复，，，，，，建议受影响的用户实时升级更新到OpenSSH 8.8。。。。。。

下载链接：

http://www.openssh.com/releasenotes.html

0x03 参考链接

https://www.openssh.com/security.html

https://www.openssh.com/txt/release-8.8

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41617

0x04 更新版本

版本	日期	修改内容
V1.0	2021-09-27	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于鉴黑担保网

关注以下公众号，，，，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】