Mobatek MobaXterm幼我版 SSH 私钥泄漏缝隙安全公告

颁布功夫 2019-06-11

缝隙编号和级别


CVE编号:CVE-2019-7690,,,,,,危险级别:严沉,,,,,,CVSS分值:9.8


影响版本


受影响的版本


MobaTek MobaXterm Personal Edition v11.1 Build 3860版本


缝隙概述


Mobatek MobaXterm是法国Mobatek公司的一套集成了加强型终端、X服务器和Unix号令集(GNU/Cygwin)的终端软件。。。。 。

MobaTek MobaXterm Personal Edition v11.1 Build 3860版本中存在信赖治理问题缝隙。。。。 。该缝隙源于网络系统或产品中不足有效的信赖治理机造。。。。 。攻击者可利用默认密码或者硬编码密码、硬编码证书等攻击受影响组件。。。。 。 


即便用户断开与远程SSH服务器的衔接,,,,,,也能够在过程的性命周期内从过程内存中检索SSH私钥及其密码。。。。 。这会影响拥有受密码保唬唬唬唬护的SSH私钥的无密码身份验证。。。。 。


缝隙验证


EXP:https://github.com/yogeshshe1ke/CVE/blob/master/2019-7690/mobaxterm_exploit.py。。。。 。


建复建议


目前厂商已颁布升级补丁以建复缝隙,,,,,,详情请关注厂商主页:https://www.mobatek.net/。。。。 。


参考链接


http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201905-329