CVE-2025-32433 :Erlang/OTP SSH 服务器面临未经认证远程执行代码风险

阅读量42591

发布时间 : 2025-04-17 09:59:52

x
译文声明

本文是翻译文章,文章原作者 securityonline,文章来源:securityonline

原文地址:https://securityonline.info/erlang-otp-cve-2025-32433-cvss-10-critical-ssh-flaw-allows-unauthenticated-rce/

译文仅供参考,具体内容表达以及含义原文为准。

Erlang/OTP, remote code execution

在广泛应用于电信、分布式系统和实时平台的技术 — Erlang/OTP 的 SSH 服务器组件中,发现了一个严重漏洞。该漏洞现已被追踪为 CVE-2025-32433,由于其易于被利用以及潜在的影响,该漏洞的 CVSS 评分为 10,这是可能的最高严重性评级。

对于那些不熟悉的人来说,Erlang 是一种功能强大的编程语言和运行时系统,旨在构建高度可扩展、容错性强且具备软实时特性的系统。OTP 是一套 Erlang 库,包括 Erlang 运行时系统和众多现成可用的组件。这些技术是许多需要高可用性和可靠性的应用程序的基础。

该漏洞允许在任何运行 Erlang/OTP SSH 服务器的主机上进行未经身份验证的远程代码执行(RCE),使攻击者无需有效凭据即可完全控制受影响的系统。

Ericsson 官方安全公告称:“在 Erlang/OTP SSH 服务器中发现了一个严重漏洞,攻击者可能利用该漏洞进行未经身份验证的远程代码执行。恶意行为者可以通过利用SSH协议消息处理中的缺陷,在没有有效凭据的情况下未经授权访问受影响的系统并执行任意命令。”

Erlang/OTP 团队已发出警告:“所有运行 Erlang/OTP SSH 服务器的用户都会受到此漏洞的影响,无论底层的 Erlang/OTP 版本如何。如果您的应用程序使用 Erlang/OTP SSH 库提供 SSH 访问权限,则假定您已受到影响。”

Erlang/OTP 团队感谢 Ruhr University Bochum 的 Fabian Bäumer、Marcel Maehren、Marcus Brinkmann 和 Jörg Schwenk 对该漏洞的负责任披露。

Ericsson 提供了明确的缓解策略:

1.立即更新:最关键的措施是更新到已修复漏洞的版本:OTP-27.3.3(适用于 OTP-27)、OTP-26.2.5.11(适用于 OTP-26)或 OTP-25.3.2.20(适用于 OTP-25)。

2.临时解决方法:“在升级到修复版本之前,我们建议禁用SSH服务器或通过防火墙规则阻止访问。” 如果无法立即进行更新,则应采取这些临时措施以将风险降至最低。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66