Erlang/OTP SSH:CVE-2025–32433漏洞深度解析
Erlang及其配套框架——开放电信平台(OTP)共同构成了一个强大的生态系统,用于构建分布式、容错的系统。Erlang是一种编程语言,旨在构建需要高可用性的可扩展实时系统。最初,Erlang由爱立信为电信系统开发;然而,多年来它已发展成为应对各种分布式计算挑战的解决方案。
Erlang/OTP SSH是作为Erlang OTP一部分的SSH协议实现。它能够在基于Erlang的系统中提供安全的shell访问和安全文件传输功能。最近披露的CVE-2025-32433是一个存在于Erlang/OTP SSH实现中的严重漏洞,它允许未经认证的远程代码执行。该漏洞由波鸿鲁尔大学的研究人员发现,因其严重性被赋予CVSS 10.0分的满分评分。
该漏洞的存在是由于Erlang/OTP对SSH协议的实现方式存在缺陷,特别是在预认证阶段处理连接协议消息时。根据技术概述,SSH消息编号80及以上是为认证后阶段保留的。因此,如果SSH客户端在认证完成之前发送了带有此类编号的消息,SSH服务器应当...FINISHED CSD0tFqvECLokhw9aBeRqjBcLIkSjib6a8p1K8IoPzI41weUAP4IDuVQ6QviNu+XXdbvkYKoy1DfEIhM9TsDgw7bcH5db7h5Tqe6Ejyo4qYaJodkXU9JtPIg9AGctWc5kCDOdssIEiy4Ggdit+oo4Q==
