Ubuntu:(多个建议)(CVE-2023-48795): OpenSSH漏洞

Description

带有某些OpenSSH扩展的SSH传输协议，可以在OpenSSH 9之前找到.6 and other products, 允许远程攻击者绕过完整性检查，从而忽略某些数据包(从扩展协商消息中), 因此，客户机和服务器之间的连接可能会因为某些安全特性被降级或禁用而终止, aka a Terrapin attack. 这是因为SSH二进制数据包协议(BPP), 由这些扩展实现, 错误处理握手阶段和错误处理序列号的使用. For example, 有一种针对SSH使用ChaCha20-Poly1305(以及使用Encrypt-then-MAC的CBC)的有效攻击. 旁路发生在chacha20-poly1305@openssh.com和(如果使用CBC) -etm@openssh.com MAC algorithms. 这也影响到Maverick Synergy Java SSH API 3之前.1.0-SNAPSHOT, Dropbear到2022年.83, Ssh before 5.1.Erlang/OTP为1,PuTTY为0之前.80, AsyncSSH before 2.14.2, golang.org/x/crypto before 0.17.0, libssh before 0.10.6, libssh2 through 1.11.0、Thorn Tech SFTP网关前3.4.6, Tera Term before 5.1, Paramiko before 3.4.0, jsch before 0.2.15, SFTPGo before 2.5.6、Netgate pfSense Plus至23.09.1、Netgate pfSense CE通过2.7.2, HPN-SSH through 18.2.0, ProFTPD before 1.3.8b (and before 1.3.9rc2)， ORYX旋风2之前.3.4、NetSarang XShell 7在Build 0144之前，CrushFTP在10之前.6.0、ConnectBot SSH库之前2.2.22、Apache MINA sshd至2.11.0, sshj through 0.37.3、TinySSH至20230101、trilead- ssh26401、LANCOM LCOS和LANconfig、FileZilla之前.66.4, Nova before 11.8, PKIX-SSH before 14.4, SecureCRT before 9.4.3, Transmit5 before 5.10.4、Win32-OpenSSH之前.5.0.6、安装WinSCP工具.2.2、在9之前将SSH服务器Bitvise.32、在9之前Bitvise SSH Client.33, KiTTY through 0.76.1.13, the net-ssh gem 7.2.0对于Ruby, 1之前的mscdex ssh2模块.15.0 for Node.Js, 0之前的画眉库.35.1代表Rust, 0之前的rush箱子.40.2 for Rust.