CVE-2008-5161: OpenSSH CBC模式信息泄露漏洞-解决方法 密码算法 aes128-cbc,aes192-cbc,aes256-cbc

近期发布了一个OpenSSH的漏洞，全称叫 “CVE-2008-5161: OpenSSH CBC模式信息泄露漏洞” ，就是说我们在通过一些ssh工具如putty、SourceCTR等连接的Linux服务器的时候，OpenSSH没有正确的处理分组密码加密算法的SSH会话所出现的错误，当在密码块链接 (CBC) 模式下使用块密码算法时，使远程攻击者更容易通过未知向量从SSH会话中的任意密文块中恢复某些明文数据。CBC算法如：aes128-cbc,aes192-cbc,aes256-cbc,blowfish-cbc,cast128-cbc,3des-cbc。

解决方法：

1、命令： man sshd_config 

查看系统支持的哪些密码算法

 

 

 2、   修改系统的默认密码算法为CTR模式

      命令： echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' >> /etc/ssh/sshd_config 

       或者： vim /etc/ssh/sshd_config ，在文件尾部增加：Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128

 

 

3、重启sshd生效， man sshd_config  /  systemctl restart sshd 

 

      但是有的朋友发现，这样改了之后，SecureCRT反而连接失败了，提示了下面这个错误，很让人头疼

 

 

 

 

 出现这个问题的一个原因是本地的客户端版本低，不支CTR加密模式，这时候我们要更换高版本的工具就可以解决这个问题了；

推荐：

Putty版本：putty-64bit-0.77   ，下载地址：https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

SecureCRT版本：SecureCRT9.2.1.2768