漏洞预警 | libssh cve-2018-10933预警

阅读量    118995 | 评论 3

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

 

0x00 事件背景

2018-10-16 libssh发布更新公告旨在解决CVE-2018-10933的问题

libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。 通过向服务端提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的 SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可以进行一些恶意操作。

 

0x01 影响范围

libssh0.6以上的版本

目前各大发行版中都暂未对相应package进行更新,具体情况可以关注一下链接

Debain

https://security-tracker.debian.org/tracker/CVE-2018-10933

ubuntu

https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10933.html

opensuse

https://www.suse.com/security/cve/CVE-2018-10933/

redhat

官方暂未发布通告

 

0x02 修复建议

及时对服务端libssh版本进行更新

可以在如下网址下载最新的0.7.6以及0.8.4版本

https://red.libssh.org/projects/libssh/files

或者在如下地址寻找对应版本的patch文件

https://www.libssh.org/security/

 

0x03 时间线

2018-10-16 libssh官方发布重要更新

2018-10-16 360CERT发布预警报告

 

0x04 参考链接

  1. libssh官方更新
  2. libssh修复patch
  3. libssh CVE-2018-10933说明
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多