历史上,第一个 OpenBSD 远程漏洞是什么?

历史上,第一个 OpenBSD 远程漏洞是什么?

在:

https://www.openbsd.org/

我可以看到:

默认安装中只有两个远程漏洞,在很长一段时间内!

我理解他们指出的概念,因为其他操作系统历史上有更多的远程代码执行漏洞、smbfs 等。

我什至发现了他们指出的第二个洞:https://lwn.net/Articles/225947/- CORE-2007-0219:OpenBSD 的 IPv6 mbufs 远程内核缓冲区溢出

但是Q:他们指出的第一个远程漏洞是什么?

答案1

来自维基百科:安全记录

2002 年 6 月,Internet Security Systems 的 Mark Dowd 披露了实现质询-响应身份验证的 OpenSSH 代码中的一个错误。 OpenBSD 默认安装中的这个漏洞允许攻击者远程访问 root 帐户,这不仅对 OpenBSD 非常严重,而且对当时使用 OpenSSH 的大量其他操作系统也极为严重。这个问题需要将OpenBSD网站上的标语调整为:

"One remote hole in the default install, in nearly 6 years! "

答案2

CVE-2002-0639

当 OpenSSH 使用 SKEY 或 BSD_AUTH 身份验证时,OpenSSH 2.9.9 到 3.3 中的 sshd 中的整数溢出允许远程攻击者在质询响应身份验证 (ChallengeResponseAuthentication) 期间执行任意代码。

相关内容