首页 > 安全研究 > 安全通报 > 安全通告

Mobatek MobaXterm个人版 SSH 私钥泄漏漏洞安全通告

发布时间 2019-06-11

漏洞编号和级别


CVE编号:CVE-2019-7690,危险级别:严重,CVSS分值:9.8


影响版本


受影响的版本


MobaTek MobaXterm Personal Edition v11.1 Build 3860版本


漏洞概述


Mobatek MobaXterm是法国Mobatek公司的一套集成了增强型终端、X服务器和Unix命令集(GNU/Cygwin)的终端软件。

MobaTek MobaXterm Personal Edition v11.1 Build 3860版本中存在信任管理问题漏洞。该漏洞源于网络系统或产品中缺乏有效的信任管理机制。攻击者可利用默认密码或者硬编码密码、硬编码证书等攻击受影响组件。 


即使用户断开与远程SSH服务器的连接,也可以在进程的生命周期内从进程内存中检索SSH私钥及其密码。这会影响具有受密码保护的SSH私钥的无密码身份验证。


漏洞验证


EXP:https://github.com/yogeshshe1ke/CVE/blob/master/2019-7690/mobaxterm_exploit.py。


修复建议


目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.mobatek.net/。


参考链接


http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201905-329

上一篇 下一篇