一、漏洞概览
本次更新的漏洞影响 OpenSSH 6.8p1 至 9.9p1 版本,覆盖客户端和服务器端,需重点关注以下两类攻击:
1.CVE-2025-26465:中间人攻击绕过主机密钥验证
影响范围
启用 VerifyHostKeyDNS 选项的系统(默认关闭,但 FreeBSD 等旧版本曾默认开启)。
漏洞描述:
攻击者可通过内存耗尽攻击迫使客户端跳过主机密钥验证,进而冒充合法服务器。
风险等级:
CVSS 评分:6.8
2. CVE-2025-26466:客户端/服务器 DoS 攻击
影响范围:
OpenSSH 9.5P1 至 9.9P1 版本
漏洞描述:攻击者通过发送大量 PING 包消耗客户端内存和 CPU 资源,导致初始密钥交换失败或服务中断。
风险等级
CVSS 评分:5.9
二、解决方案
方案一:升级 OpenSSH 至 9.9p2
官网下载地址:
https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.9p2.tar.gz方案二:修复配置文件
针对两个漏洞的配置调整如下:
1. 修复 CVE-2025-26465(客户端/服务器端)
修改 /etc/ssh/sshd_config
VerifyHostKeyDNS no # 禁用 DNS 主机密钥验证systemctl restart sshd 2. 修复 CVE-2025-26466(服务器端 DoS 防御)
修改 /etc/ssh/sshd_config(按实际需求修改)
LoginGraceTime 2m # 缩短认证超时时间(默认 120s)MaxStartups 10:30:100 # 限制并发连接数(默认 10:30:100)PerSourcePenalties 1 # 按源 IP 限制重试次数(默认无)
参数详解
-
MaxStartups 10
当有 10 个未认证连接时,开始随机拒绝新连接(概率 30%);达到 100 时完全拒绝。
-
PerSourcePenalties 1
每个源 IP 仅允许 1 次未认证尝试(需结合 MaxStartups)。
三、历史升级指南参考
如需更详细的升级步骤,可参考往期文章:
四、参考链接
[Qualys 安全公告]
https://www.qualys.com/2025/02/18/openssh-mitm-dos.txt?spm=5176.28103460.0.0.535e5d275I42me&file=openssh-mitm-dos.txt
[CVE Details 官网]
https://www.cvedetails.com/cve/
[SSH 配置文件详解]
https://man.openbsd.org/ssh_config?spm=5176.28103460.0.0.535e5d275I42me
原文始发于微信公众号(网络个人修炼):OpenSSH CVE-2025-26465/26466修复
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论