关键信息 漏洞描述 CVE-2023-48795: Prefix Truncation Attacks in SSH Specification (Terrapin Attack) 缓解措施 OpenSSH建议使用"strict kex"机制,以确保: - 中间人无法在握手过程中插入未认证的消息。 - 跨握手的序列号操纵也受到限制。 受影响的开源项目及补丁 AsyncSSH 2.14.2: 链接 Dropbear: 链接 Erlang ssh 5.1.1: 链接 golang.org/x/crypto 0.17.0: 链接 libssh 0.10.6 and 0.9.8: 链接 libssh2: Issues and Pull Request OpenSSH 9.6: 链接 Paramiko 3.4.0: 链接 PuTTY 0.80: 链接 rssh 0.40.2: 链接 SFTPGo 2.5.6: 链接 ssh2 [node.js/npm] 1.15.0: 链接 Tera Term 5.1: 链接 Thrushh 0.35.1: 链接 未处理的漏洞 Apache Mina: 链接 ProFTPD (mod_sftp): 链接 SSHJ: 链接 其他受影响项目 Jsch 0.2.15: 链接 tinyssh、rubygem-net-ssh 也受影响。 Rust 生态中的"libssh2-sys"需要更新。 Python的Twisted SSH库目前尚未有chacha或etm macs的支持。