OpenPubkey身份验证协议及其配套工具OPKSSH中的一对关键严重漏洞可能允许攻击者绕过身份验证机制并获得未经授权的访问权限。
OpenPubkey是一种将用户或工作负载生成的公钥与OpenID Connect(OIDC)集成的协议,最近披露了其加密验证过程中的一个主要漏洞。这些漏洞(CVE-2025-3757和CVE-2025-4658)每个漏洞的CVSS v4得分为9.3,严重程度至关重要。
OpenPubkey允许开发人员将OIDC身份绑定到公钥。这允许在alice@example.com等身份下进行消息签名等安全加密操作,而无需对现有OpenID提供商进行不兼容的更改。
OpenPubkey 将用户或工作负载生成的公钥添加到 OpenID Connect (OIDC),使身份能够在其 OIDC 身份下签署消息或工件。
- CVE-2025-3757 — OpenPubkey 身份验证旁路
在 0.10.0 之前的 OpenPubkey vulnerability库版本中,发现了一个漏洞,其中特制 JWS(JSON Web Signatures)可以绕过签名验证过程。这种缺陷破坏了OpenPubkey在身份和加密操作之间建立的信任。
- CVE-2025-4658 — OPKSSH 身份验证旁路
vulnerability此漏洞扩展到 OPKSSH,这是一个利用 OpenPubkey 通过 OIDC 身份而不是传统 SSH 密钥启用 SSH 访问的工具。在版本 0.5.0 之前使用 OPKSSH 的任何系统都容易受到攻击,可能允许攻击者在没有适当身份验证的情况下获得 SSH 访问。
对于 OpenPubkey,建议用户升级到 v0.10.0 或更高版本。建议OPKSSH用户升级到0.5.0或更高版本。
要检查系统是否易受攻击,建议在服务器上运行命令“opkssh-version”。如果版本小于 0.5.0,则应升级。升级可以通过运行以下命令执行:
发表评论
您还未登录,请先登录。
登录