请尽快升级！OpenSSH远程代码执行漏洞（CVE-2016-10009）

12月19日，国外漏洞平台 SecurityFocus 上发布了最新的 OpenSSH（CVE-2016-10009） 远程代码执行漏洞。

漏洞描述

OpenSSH存在远程代码执行漏洞，攻击者可以通过远程攻击OpenSSH来获得服务器权限，目前未有相关POC公布。

OpenSSH是SSH（Secure SHell）协议的免费开源实现,它是取代由SSH Communications Security所提供的商用版本的开放源代码方案。目前OpenSSH是OpenBSD的子计划。OpenSSH提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务。

漏洞危害

黑客通过利用漏洞可以实现远程命令执行，严重情况下可能会导致业务中断或数据泄露。

影响范围

低于OpenSSH 7.3版本

OpenSSH OpenSSH 7.3

OpenSSH OpenSSH 7.2p2

OpenSSH OpenSSH 7.2

OpenSSH OpenSSH 7.1p2

OpenSSH OpenSSH 7.1p1

OpenSSH OpenSSH 7.1

OpenSSH OpenSSH 7.0

OpenSSH OpenSSH 6.9p1

OpenSSH OpenSSH 6.9

OpenSSH OpenSSH 6.6

OpenSSH OpenSSH 6.5

OpenSSH OpenSSH 6.4

OpenSSH OpenSSH 6.3

OpenSSH OpenSSH 6.2

OpenSSH OpenSSH 6.1

OpenSSH OpenSSH 6.0

OpenSSH OpenSSH 5.8

OpenSSH OpenSSH 5.7

OpenSSH OpenSSH 5.6

OpenSSH OpenSSH 5.5

OpenSSH OpenSSH 5.4

OpenSSH OpenSSH 5.3

OpenSSH OpenSSH 5.2

OpenSSH OpenSSH 5.1

OpenSSH OpenSSH 5.0

修复方案

建议用户升级到最新版本（7.4版本）！

OpenSSH 7.4 已于 2016 年 12 月 19 日正式发布，新版本移植了在 Linux、BSD、以及其它类 Unix 平台上 SSH 2.0 协议的完整支持，主要修复了上一个版本中发现的 bug和安全问题。需注意的是，7.4 版本的各项底层变化，有可能会影响现有的配置。

参考网址

1.www.securityfocus.com/bid/94968/info

2.lwn.net/Articles/709677/