↑点击关注,获取更多漏洞预警,技术分享
0x01 组件介绍
Erlang 它是一款强大的编程语言和运行时系统,旨在构建高度可扩展、容错和软实时的系统。OTP 是一套 Erlang 库,包含 Erlang 运行时系统和众多现成的组件。
搜索语法(昨天有文章被投诉了,不知道是因为这个):app="Erlang"
0x02 漏洞描述
近日,互联网上揭露了在Erlang/OTP SSH 服务器中识别出一个严重漏洞,该漏洞可能允许攻击者执行未经身份验证的远程代码执行(RCE)。通过利用 SSH 协议消息处理的漏洞,恶意行为者可能获得对受影响系统的未授权访问,并执行任意命令而无需有效凭证。所有运行 Erlang/OTP SSH 服务器的人都受到此漏洞的影响,无论其底层 Erlang/OTP 版本如何。如果你的应用程序使用 Erlang/OTP SSH 库提供 SSH 访问,请假设你受到影响。
|
|
||
|
|
|
|
|
|
|
|
<= OTP-27.3.2
<= OTP-26.2.5.10
<= OTP-25.3.2.19
0x04 漏洞验证
目前POC/EXP目前尚未公开,后续若公开为及时更新到本文章
0x05 漏洞影响
由于该漏洞影响范围较广,危害较大。企业应该尽快排查是否有使用该组件,并尽快做出对应措施
1.立即更新更新到修补版本:
官方下载地址:https://github.com/erlang/otp/releases
OTP-27.3.3(针对 OTP-27)
OTP-26.2.5.11(针对 OTP-26)
OTP-25.3.2.20(针对 OTP-25)
2.临时解决方法:
若无法及时升级,建议禁用 SSH 服务器或阻止通过防火墙规则访问 。
0X07 参考链接
https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2
0x08 免责声明> 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。> 请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。> 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。
原文始发于微信公众号(安全探索者):【漏洞预警】Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行(CVE-2025-32433)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论