周二，Qualys威胁研究小组（TRU）透露，OpenSSH中存在两个漏洞，可能导致中间人（MitM）攻击或服务拒绝（DoS）攻击。

　　OpenSSH 9.9p2版本修复了这两个漏洞，漏洞编号分别为CVE-2025-26465和CVE-2025-26466，由Qualys TRU研究人员发现。这两个漏洞都归因于内存错误条件。

　　CVE-2025-26465可能导致客户端连接到攻击者控制的服务器，而不是预期中的服务器，从而可能导致凭据等敏感信息被窃取。不过，也有一些缓解因素，即该攻击仅在VerifyHostKeyDNS客户端配置选项设置为“yes”或“ask”时才有效，而默认配置为“no”。

　　Qualys指出，不同实现之间的默认配置可能有所不同——例如，在FreeBSD中，从2013年9月至2023年3月，VerifyHostKeyDNS默认是启用的。该漏洞自2024年12月起就存在于OpenSSH代码中，即在6.8p1版本发布之前不久。而CVE-2025-26466自2023年8月起就存在，即在9.5p1版本发布之前不久，该漏洞可能导致对OpenSSH客户端和服务器的DoS攻击。

　　Qualys建议尽快升级到OpenSSH 9.9p2以解决这两个漏洞，尽管禁用VerifyHostKeyDNS可以缓解CVE-2025-26465的风险，而利用LoginGraceTime、MaxStartups和PerSourcePenalties配置可以防止针对OpenSSH服务器的CVE-2025-26466漏洞被成功利用。

　　内存错误可能导致SSH会话被操纵

　　Qualys TRU发现的两个漏洞都源于类似的内存错误，这些错误可能使攻击者耗尽客户端或服务器的内存，研究人员在对漏洞的技术分析中解释道。

　　研究人员发现，当客户端向服务器发送ping消息时，会分配无限的内存，这些内存直到初始密钥交换完成后才会被释放。此外，内存不足错误（SSH_ERR_ALLOC_FAIL）没有得到妥善处理，当内存耗尽时，可以绕过密钥验证。

　　攻击者可以通过故意用大量ping消息和带有额外证书扩展的长服务器主机密钥来淹没客户端的内存，从而利用这个漏洞，使客户端在未经验证的情况下连接到恶意服务器。

　　“SSH会话可能是攻击者拦截凭据或劫持会话的主要目标。如果被攻陷，黑客可以查看或操纵敏感数据，在多个关键服务器之间横向移动，并窃取有价值的信息，如数据库凭据，”研究人员写道。

　　Qualys团队指出，在处理密钥交换期间接收和处理数据包需要大量的计算资源；如果客户端或服务器被大量ping消息淹没，则缓冲的传出（pong）数据包将重新缓冲，该过程占用的计算资源与原始ping消息的大小相比是不对称的，从而导致崩溃。

　　由于OpenSSH在Linux和macOS等类Unix操作系统中得到了广泛应用，因此这些漏洞具有重要意义。Qualys TRU此前曾在OpenSSH的服务器中发现了一个未经身份验证的远程代码执行（RCE）漏洞，称为regreSSHion，该漏洞可能在2024年7月影响了超过1400万个暴露在互联网上的OpenSSH服务器。