Erlang/OTP 的 SSH 服务器组件中发现了一个严重漏洞,该技术广泛应用于电信、分布式系统和实时平台。该漏洞编号为 CVE-2025-32433,CVSS 评分为 10,这是最高严重等级,因为它易于利用且影响巨大。
对于不熟悉 Erlang 的人来说,它是一款强大的编程语言和运行时系统,旨在构建高度可扩展、容错和软实时的系统。OTP(开放电信平台)是一套 Erlang 库,包含 Erlang 运行时系统和众多现成的组件。这些技术是许多需要高可用性和可靠性的应用程序的基础。
该漏洞允许在运行 Erlang/OTP SSH 服务器的任何主机上执行未经身份验证的远程代码执行 (RCE),从而使攻击者无需有效凭证即可完全控制受影响的系统。
爱立信官方安全公告指出 :“ Erlang/OTP SSH 服务器中发现一个严重漏洞,可能允许攻击者执行未经身份验证的远程代码执行 。 通过利用 SSH 协议消息处理中的缺陷,恶意行为者可以未经授权访问受影响的系统,并在没有有效凭证的情况下执行任意命令 。”
Erlang/OTP 团队已发出警告:“ 所有运行 Erlang/OTP SSH 服务器的用户都会受到此漏洞的影响,无论底层 Erlang/OTP 版本如何。如果您的应用程序使用 Erlang/OTP SSH 库提供 SSH 访问,则假设您已受到影响 。”
Erlang/OTP 团队向波鸿鲁尔大学的 Fabian Bäumer、Marcel Maehren、Marcus Brinkmann 和 Jörg Schwenk 表示感谢,感谢他们负责任地披露此漏洞 。
爱立信提供了明确的缓解策略:
- 立即更新: 最关键的操作是更新到修补版本:OTP-27.3.3(针对 OTP-27)、OTP-26.2.5.11(针对 OTP-26)或 OTP-25.3.2.20(针对 OTP-25)。
- 临时解决方法: “ 在升级到修复版本之前,我们建议禁用 SSH 服务器或阻止通过防火墙规则访问 。”如果无法立即更新,则应实施这些临时措施以最大限度地降低风险。
原文始发于微信公众号(独眼情报):Erlang/OTP CVE-2025-32433 (CVSS 10):严重 SSH 漏洞导致未经身份验证的 RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论