漏洞关键信息总结 漏洞概述 漏洞ID: EEF-CVE-2026-23943 类型: 压缩炸弹 (Compression Bomb) / 拒绝服务 (DoS) 描述: Erlang OTP ssh (ssh_transport modules) 中存在处理高度压缩数据不当的漏洞。SSH传输层默认使用legacy zlib压缩,并在认证前膨胀攻击者控制的负载,且无大小限制。这会导致内存耗尽(Memory Exhaustion),在内存受限环境中引发OOM(Out Of Memory)并杀死进程。 受影响算法: : 密钥交换后立即激活,允许未授权攻击。 : 激活后认证,允许授权攻击。 放大率: 每个SSH数据包可解压约255 MB(源自256 KB的线流量,放大率1029:1)。 影响范围 受影响软件: Erlang OTP 受影响版本: OTP 17.0 至 OTP 28.4.1 OTP 27.3.4.9 OTP 26.2.5.18 对应 ssh 版本从 3.0.1 至 5.5.1, 5.2.11.6 和 5.14.14。 具体受影响的 OTP 版本列表: OTP-17. OTP-18. OTP-19. OTP-20. OTP-21. OTP-22. OTP-23. OTP-24. OTP-25. OTP-26. OTP-27. OTP-28. OTP-29. Other 修复方案 该漏洞已在以下 Git 提交中修复(GitHub repo: ): (Fixed) (Fixed) (Fixed)