CVE-2026-23943 漏洞总结 漏洞概述 名称: Pre-auth SSH DoS via unbounded zlib inflate (通过无界 zlib inflate 进行的预认证 SSH 拒绝服务攻击) CVSS 评分: 6.9 (MEDIUM) 描述: Erlang OTP ssh ( modules) 中存在不当处理高压缩数据(Compression Bomb)的漏洞。该漏洞允许攻击者在预认证阶段通过资源耗尽(Resource Depletion)导致拒绝服务(DoS)。 攻击原理: SSH 传输层默认启用遗留的 zlib 压缩,并在预认证时解压缩攻击者控制的载荷,且无大小限制。这会导致内存耗尽(OOM),特别是在内存受限的环境中。 受影响算法: (在密钥交换后立即激活,启用未认证攻击) (在预认证后激活,启用已认证攻击) 影响范围 该漏洞影响从 OTP 17.0 到 OTP 28.4.1、27.3.4 和 26.2.5.18 的版本。 具体受影响模块与版本: 修复与规避方案 1. 最佳规避方案 (Best workaround) 禁用所有压缩算法。 2. 替代缓解措施 (Alternative mitigations - 安全性较低) 仅禁用预认证 zlib 压缩: 允许已认证用户仍可利用 zlib。 限制并发会话: 减少攻击面(但不能阻止利用)。 3. 修复版本** 请参考上方“影响范围”表格中的 列,升级到列出的版本即可修复。