关键信息 漏洞概述 CVE编号: CVE-2025-8114 影响程度: 中等 CVSS v3评分: 4.7 描述 在libssh中,一个实现SSH协议的库中发现了一个漏洞。在密钥交换(KEX)过程中计算会话ID时,调用加密公共函数可能会导致NULL指针取消引用。这可能导致客户端或服务器崩溃。 声明 Red Hat Product Security团队评估了此漏洞的安全性,认为其具有中等风险,本地攻击向量和高复杂性的利用。虽然需要特定的配置才能成功利用,但成功的利用可能导致SSH客户端或正在运行的libssh崩溃。 缓解措施 目前没有可用的缓解措施,或者当前可用的选项不符合Red Hat Product Security标准,包括使用范围、部署适用性和广泛安装基础的可维护性。 受影响的包和发布的Red Hat安全公告 Red Hat Enterprise Linux 9: 将被修复 Red Hat Enterprise Linux 8: 将被修复 Red Hat Enterprise Linux 7: 不受影响 Red Hat Enterprise Linux 6: 将被修复 Red Hat Enterprise Linux 5: 将被修复 Red Hat OpenShift Container Platform 4: 将被修复 CVSS v3评分详情 攻击向量: 本地 攻击复杂度: 高 权限要求: 低 用户交互: 无 作用域: 不变 机密性影响: 无 完整性影响: 无 可用性影响: 高 弱点理解(CWE) CWE-476: NULL指针取消引用 致谢 感谢Jakub Jelen和Philippe Antoine报告此问题。