从CVE-2018-15473看协议安全:一个数据包畸形引发的OpenSSH‘侧信道’故事
当服务器对异常输入的处理方式暴露出本应保密的信息时,协议安全的边界就被悄然突破。2018年曝光的OpenSSH漏洞CVE-2018-15473正是这样一个典型案例——攻击者不需要破解密码,仅通过观察服务器对畸形数据包的不同反应,就能推断出目标系统上是否存在特定用户。这种通过"副作用"而非直接攻击获取信息的方式,在安全领域被称为侧信道攻击。
1. SSH协议认证流程的隐秘角落
SSH协议的用户认证过程看似简单:客户端发起连接,服务器响应,双方协商加密参数,最后进行用户身份验证。但魔鬼藏在细节里——特别是在userauth_pubkey这个关键函数中。
正常流程下,当客户端尝试公钥认证时:
- 客户端发送
SSH_MSG_USERAUTH_REQUEST,包含用户名、公钥等信息 - 服务器检查用户名是否存在
- 若存在,继续验证公钥是否匹配;若不存在,直接返回失败
问题出在异常处理路径的不一致性。当服务器收到格式错误的数据包时:
# 伪代码展示关键差异 if 用户名不存在: return AUTH_FAILURE # 路径A:优雅返回认证失败 else: if 数据包格式错误: fatal_error() # 路径B:直接断开连接这种差异形成了可观测的时间侧信道——攻击者可以通过是否收到连接断开信号来判断用户名有效性。
2. 源码层面的致命分歧
在OpenSSH 7.7之前的版本中,两个关键函数处理异常的方式截然不同:
| 函数名 | 异常处理方式 | 返回信号 | 影响范围 |
|---|---|---|---|
userauth_pubkey() | 立即返回 | SSH2_MSG_USERAUTH_FAILURE | 仅当前认证尝试 |
sshpkt_get_u8() | 调用fatal()终止连接 | TCP连接断开 | 整个SSH会话 |
这种设计本意是处理不同层级的错误——用户认证失败是预期中的业务逻辑错误,而协议解析错误被视为严重系统错误。但安全领域有一条铁律:任何可观测的差异都可能成为信息泄露的通道。
3. 漏洞的本质:状态泄露陷阱
CVE-2018-15473暴露的深层问题是协议状态机设计缺陷。在理想情况下,无论用户是否存在,服务器对畸形包的处理应该保持一致:
安全设计原则:对外部不可信输入的异常处理路径必须保持行为一致性
类似问题在其他协议中屡见不鲜:
- FTP协议的
USER命令响应时间差异 - SMTP的
VRFY命令返回值差异 - Web应用的登录页面错误信息差异
这些案例都违反了Fail-Safe Defaults安全设计原则——系统应该在失败时默认进入最安全的状态,而不是泄露内部信息。
4. 协议设计者的防御策略
要避免这类侧信道泄露,协议设计者可以考虑以下防御措施:
统一异常处理路径
- 对所有语法错误返回相同的错误类型
- 保持相同的响应延迟
引入随机延迟
- 在关键分支添加随机时间偏移
- 模糊化可观测的时间差异
分层错误处理
// 改进后的错误处理伪代码 handle_packet() { if (包格式错误) { log_internally(); // 内部记录详细错误 return GENERIC_ERROR; // 对外统一返回 } }实施速率限制
- 对连续失败的认证尝试进行限制
- 阻断明显的枚举行为
OpenSSH在7.7版本中的修复方案就采用了第一种策略——无论用户名是否存在,对畸形包都统一返回认证失败,彻底消除了这个信息泄露通道。
5. 从漏洞分析到安全编码实践
在审查网络协议代码时,以下几个检查点至关重要:
- 所有错误路径是否对外表现一致?
- 状态转换是否存在信息泄露风险?
- 时间维度是否可能成为侧信道?
- 资源管理(连接、内存等)是否与业务逻辑解耦?
实际开发中,可以采用差分测试技术:向系统注入各类异常输入,观察其外部行为是否保持一致。这不仅能发现CVE-2018-15473这类问题,还能捕捉到更多潜在的安全隐患。
)
)