漏洞概述 CVE编号: CVE-2026-48859 漏洞类型: 可观察时序差异(Observable Timing Discrepancy) CVSS 4.0 评分: 6.3(中等) 描述: Erlang/OTP 中的 函数在密码认证过程中存在可观察的时序差异,导致未认证的远程攻击者可以通过时序侧信道枚举用户名。 影响范围 受影响模块: - - 受影响版本: - OTP 29.0 到 29.0.2 - ssh 6.0 到 6.0.1 配置文件: - 当 SSH 守护进程配置为使用 或 选项进行密码认证时受影响。 - 使用 选项的系统不受影响。 修复方案 推荐替代方案: 使用 选项代替 进行密码认证。 具体步骤: - 在配置文件中将 或 选项替换为 。 - 确保 回调函数在大约恒定的时间内执行,无论用户名是否有效。 参考链接 GitHub Advisory OSV.dev Vulnerability GitHub Commit 贡献者 发现者: Zhang Delong 修复开发者: Jakub Witczak 修复审查者: Ingela Anderton Andin, Michał Wąsowski 代码块 无 POC 代码或利用代码。