首頁 > 安全研究 > 安全通報 > 安全通告

Mobatek MobaXterm個人版 SSH 私鑰泄漏漏洞安全通告

發布時間 2019-06-11

漏洞編號和級別


CVE編號:CVE-2019-7690,危險級別:嚴重,CVSS分值:9.8


影響版本


受影響的版本


MobaTek MobaXterm Personal Edition v11.1 Build 3860版本


漏洞概述


Mobatek MobaXterm是法國Mobatek公司的一套集成了增強型終端、X服務器和Unix命令集(GNU/Cygwin)的終端軟件。

MobaTek MobaXterm Personal Edition v11.1 Build 3860版本中存在信任管理問題漏洞。該漏洞源于網絡系統或產品中缺乏有效的信任管理機制。攻擊者可利用默認密碼或者硬編碼密碼、硬編碼證書等攻擊受影響組件。 


即使用戶斷開與遠程SSH服務器的連接,也可以在進程的生命周期內從進程內存中檢索SSH私鑰及其密碼。這會影響具有受密碼保護的SSH私鑰的無密碼身份驗證。


漏洞驗證


EXP:https://github.com/yogeshshe1ke/CVE/blob/master/2019-7690/mobaxterm_exploit.py。


修復建議


目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:https://www.mobatek.net/。


參考鏈接


http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201905-329

上一篇 下一篇