UCloud-202109-001:OpenSSH权限提升漏洞风险通告(CVE-2021-41617)
- 发布时间 2021-09-27
- 更新时间 2021-09-27
- 漏洞等级 High
- CVE编号 CVE-2021-41617
漏洞描述
9月26日,OpenSSH通报了一个权限提升漏洞,sshd(8) 在执行AuthorizedKeysCommand或 AuthorizedPrincipalsCommand时未能正确初始化补充组,其中 AuthorizedKeysCommandUser或 AuthorizedPrincipalsCommandUser指令被设置为以非 root 用户身份运行命令;根据系统配置,继承的组可能允许帮助程序获得意外的特权。在sshd_config(5)中,AuthorizedKeysCommand和AuthorizedPrincipalsCommand默认都没有启用。影响版本
OpenSSH > 6.1OpenSSH < 8.8
安全版本:
OpenSSH 8.8参考链接:
https://www.openssh.com/security.htmlhttps://www.openssh.com/txt/release-8.8
