安全人员发现以色列政府DNS服务器存在Open SSH安全漏洞

安全研究人员Eitan Caspi最近检查了gov.il子域的HTTPS站点是否有安全问题，结果他在以色列政府DNS服务器上发现了一个开放的Open SSH访问。

使用Qualys开发的在线SSL检查器，Eitan Caspi分析了服务器上的SSL配置，最终在端口22上收到来自其中一个被检查IP的答复。 SSH使用端口22，该服务允许管理员连接到Linux服务器，Caspi说开放访问允许他尝试登录。

Eitan Caspi在当天将这一发现发送给以色列国家认证中心，十分钟后，Eitan Caspi还设法联系了以色列政府信息技术部门资深人士，并将详细情况告知了相关问题。根据Eitan Caspi透露，几个小时后，端口被关闭，通道被封锁。

但是，经过进一步分析，他发现该服务器使用了一个OpenSSH旧版本，该版本以包含多个漏洞而闻名。该服务器运行的是OpenSSH 7.4p1，该版本于2016年12月发布，因此已经存在三年多了。从那时起，OpenSSH发行了多个版本和针对各种安全问题的一系列安全修复程序，现在服务器中可能没有安装这些更新版本和修复程序。

文章来源：cnbeta.com