在广泛应用于电信、分布式系统和实时平台的技术 — Erlang/OTP 的 SSH 服务器组件中,发现了一个严重漏洞。该漏洞现已被追踪为 CVE-2025-32433,由于其易于被利用以及潜在的影响,该漏洞的 CVSS 评分为 10,这是可能的最高严重性评级。
对于那些不熟悉的人来说,Erlang 是一种功能强大的编程语言和运行时系统,旨在构建高度可扩展、容错性强且具备软实时特性的系统。OTP 是一套 Erlang 库,包括 Erlang 运行时系统和众多现成可用的组件。这些技术是许多需要高可用性和可靠性的应用程序的基础。
该漏洞允许在任何运行 Erlang/OTP SSH 服务器的主机上进行未经身份验证的远程代码执行(RCE),使攻击者无需有效凭据即可完全控制受影响的系统。
Ericsson 官方安全公告称:“在 Erlang/OTP SSH 服务器中发现了一个严重漏洞,攻击者可能利用该漏洞进行未经身份验证的远程代码执行。恶意行为者可以通过利用SSH协议消息处理中的缺陷,在没有有效凭据的情况下未经授权访问受影响的系统并执行任意命令。”
Erlang/OTP 团队已发出警告:“所有运行 Erlang/OTP SSH 服务器的用户都会受到此漏洞的影响,无论底层的 Erlang/OTP 版本如何。如果您的应用程序使用 Erlang/OTP SSH 库提供 SSH 访问权限,则假定您已受到影响。”
Erlang/OTP 团队感谢 Ruhr University Bochum 的 Fabian Bäumer、Marcel Maehren、Marcus Brinkmann 和 Jörg Schwenk 对该漏洞的负责任披露。
Ericsson 提供了明确的缓解策略:
1.立即更新:最关键的措施是更新到已修复漏洞的版本:OTP-27.3.3(适用于 OTP-27)、OTP-26.2.5.11(适用于 OTP-26)或 OTP-25.3.2.20(适用于 OTP-25)。
2.临时解决方法:“在升级到修复版本之前,我们建议禁用SSH服务器或通过防火墙规则阻止访问。” 如果无法立即进行更新,则应采取这些临时措施以将风险降至最低。
发表评论
您还未登录,请先登录。
登录