LS-9810 加密问题SSH-1协议私钥计算漏洞(CVE-2001-1473)

对于LS-9810上的CVE-2001-1473漏洞，问题的根源在于设备启用了已被淘汰的、不安全的SSH协议版本1（SSHv1）。处理方法也很直接：核心就是彻底禁用SSHv1，并强制设备只使用安全的SSHv2。

这个漏洞的核心在于SSHv1协议设计上的严重缺陷。攻击者可以利用其弱点，实施中间人攻击来破解加密会话。实际上，该协议版本早在2002年就被OpenSSH默认禁用，早已是公认的不安全协议。你的LS-9810报出此漏洞，只说明它启用了兼容SSHv1的功能。

你可以通过命令行界面（CLI），按以下步骤操作来关闭相关功能并强化加密配置：

第一步：进入系统视图

此命令直接关闭设备对SSHv1的支持。

这一步是关闭SSHv1后的标准安全加固措施，能进一步增强SSHv2的安全性。强烈建议在关闭SSHv1后执行。

您好，参考

1、目前关于漏洞的处理：通过配置规避、升级系统彻底修复、限制访问

2、所以：

①SSH V1 可以通过配置关闭

②算法那个可以通过修改SSH算法规避

按照这个配置下就能规避了

undo ssh server compatible-ssh1x enable

ssh2 algorithm cipher aes128-ctr aes128-gcm aes192-ctr aes256-ctr aes256-gcm

ssh2 algorithm mac sha1 sha1-96 sha2-256 sha2-512

一、漏洞原理与危害

• CVE-2001-1473：SSH-1 协议设计缺陷，攻击者可通过中间人攻击，利用弱密钥算法计算出会话私钥，进而解密、篡改整个通信过程。
• 你的设备风险：Comware V7 系统（如 R2152）默认开启 SSH1 兼容（ssh server compatible-ssh1x enable）。扫描工具检测到设备支持 SSH1 协议，就会报此漏洞。
• 严重性：高危。内网环境下极易被利用，导致设备账号、配置泄露。

二、修复方案（立即执行）

三、验证修复是否成功

• SSH version：必须显示 **SSH 2.0`
• Compatible with SSH1.x：必须显示 Disabled

四、额外加固建议（推荐）

1. 重启 SSH 服务（使配置完全生效）
   bash

   运行

   [LS-9810] undo ssh server enable [LS-9810] ssh server enable
2. 生成强密钥
   bash

   运行

   [LS-9810] public-key local create rsa # 建议2048位及以上 [LS-9810] public-key local create ecdsa
3. 限制 SSH 访问源 IP（ACL）
   bash

   运行

   # 示例：仅允许 192.168.1.0/24 网段访问 [LS-9810] acl basic 2000 [LS-9810-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [LS-9810-acl-ipv4-basic-2000] rule deny [LS-9810-acl-ipv4-basic-2000] quit [LS-9810] ssh server acl 2000

五、是否需要升级固件？

• 不需要。此漏洞并非软件 Bug，而是协议本身不安全。禁用 SSH1 即完全修复。
• 升级建议：如果有其他功能需求，可以升级到 R2152Pxx 或更高 稳定补丁版，但不是修复此漏洞的必要条件。

总结