漏洞概述

Google Go存在安全漏洞，实施文件传输协议的 SSH 服务器容易受到来自客户端的拒绝服务攻击，这些客户端的密钥交换速度很慢，或者根本无法完成，导致待处理的内容被读入内存，但永远不会传输。

更新记录

GO语言ssh存在安全漏洞，导致客户端存在拒绝服务攻击风险

公告编号：YASDB-SA-2025-0001          漏洞编号：CVE-2025-22869（CNNVD-202502-3337）         实际风险等级：低危

漏洞等级

高危

漏洞使用CVSSv3.1计分系统进行评分，详细评分标准请参考：https://www.first.org/cvss/specification-document。

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

影响产品

YashanDB

影响版本

23.4.3.100之前的版本

影响组件

OM

引入路径

golang.org/x/crypto/ssh开源库 存在ssh拒绝服务漏洞

规避措施

暂无

技术细节

在 SSH 协议中，客户端和服务器执行密钥交换以生成用于加密和身份验证的一次性会话密钥。

密钥交换最初在连接建立后执行，然后在达到可配置的数据量后定期执行。

在密钥交换过程中，服务端会将接收到的数据包添加到内部队列中，直到收到来自另一端的 SSH_MSG_KEXINIT 数据包。

如果另一端对 SSH_MSG_KEXINIT 数据包的响应速度较慢，则会导致内存占用过高；如果恶意客户端在大文件传输过程中始终未响应 SSH_MSG_KEXINIT 数据包，则会导致内存耗尽。

修复版本和获取途径

下载地址：软件交付平台 https://download.yasdb.com/sics_share YashanDB数据库--企业版--23.4版本--23.4.3--23.4.3.100。

漏洞来源

该漏洞来源于Dependency-Track自动扫描。

FAQs

无

免责声明

本文件按“原样”提供，不承诺任何明示、默示和法定的担保，包括（但不限于）对适销性、适用性及不侵权的担保。 在任何情况下，深圳崖山科技有限公司（简称崖山科技）或相关的子公司，对任何损失，包括直接，间接，偶然，必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。崖山科技可以随时对本文件所载的内容和信息进行修改或更新。