libssh ProxyCommand 命令注入漏洞(CVE-2023-6004)

CVE编号

CVE-2023-6004

利用情况

暂无

补丁情况

N/A

披露时间

2024-01-04

漏洞描述

OpenSSH 是使用 SSH 协议进行远程登录的连接工具。 在OpenSSH 9.6版本之前的版本中，如果ssh_config中ProxyCommand、LocalCommand指令或"match exec"谓词通过%u、%h或类似的扩展标记引用用户或主机名时，可能会发生命令注入。攻击者可以创建一个恶意代码仓库，将子模块中的URL配置为ssh协议并且包含恶意系统命令（如ssh://`open -aCalculator`foo.example.com/bar）当受害者配置中开启了ProxyCommand并且使用了%u、%h等扩展标记时，通过git clone命令并且使用--recurse-submodules参数克隆项目时，会执行恶意代码。 该漏洞可能被用于Github投毒。

解决建议

"将组件 libssh 升级至 0.10.5 及以上版本""将组件 libssh 升级至 0.10.6-1 及以上版本""将组件 libssh-gcrypt-4 升级至 0.9.8-0+deb11u1 及以上版本""将组件 libssh-4 升级至 0.9.8-0+deb11u1 及以上版本""将 libssh 升级至 0.9.8 及以上版本""将组件 libssh-doc 升级至 0.9.8-0+deb11u1 及以上版本""将组件 libssh-gcrypt-dev 升级至 0.9.8-0+deb11u1 及以上版本""将组件 libssh-dev 升级至 0.9.8-0+deb11u1 及以上版本""将组件 libssh 升级至 0.10.6-0+deb12u1 及以上版本"

参考链接
https://access.redhat.com/security/cve/CVE-2023-6004
https://bugzilla.redhat.com/show_bug.cgi?id=2251110
https://www.libssh.org/security/advisories/CVE-2023-6004.txt

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	alpine_3.19	libssh	*		Up to (excluding) 0.10.6-r0
	运行在以下环境
	系统	anolis_os_23	libssh	*		Up to (excluding) 0.10.6-1
	运行在以下环境
	系统	debian_11	libssh	*		Up to (excluding) 0.9.8-0+deb11u1
	运行在以下环境
	系统	debian_12	libssh	*		Up to (excluding) 0.10.6-0+deb12u1
	运行在以下环境
	系统	fedora_38	libssh	*		Up to (excluding) 0.10.6-1.fc38
	运行在以下环境
	系统	fedora_39	libssh	*		Up to (excluding) 0.10.6-1.fc39

CVSS3评分 3.9

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 需要
• 可用性 无
• 保密性 低
• 完整性 低

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com