【安全通告】Libssh 服务器端身份验证绕过漏洞(CVE-2018-10933)

作者:   广州非凡信息安全技术有限公司(总部广州) 2018/12/19 11:13:15 83次阅读 国际

【安全通告】Libssh 服务器端身份验证绕过漏洞(CVE-2018-10933)
1704854930790f8b5c457f2cdbc853fb.png


当地时间10月16日,libssh 官方发布更新公告修复了0.6及更高版本中存在的一个服务器端身份验证绕过漏洞(CVE-2018-10933)。通过向服务器提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务器正常启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证。

受影响的版本

libssh version >= 0.6
libssh version < 0.8.4
libssh version < 0.7.6

不受影响的版本

libssh version = 0.8.4 , 0.7.6


解决方案

官方已发布不受影响版本。建议受影响用户尽快升级。已修复版本Libssh 0.8.4 和 0.7.6 下载参考链接如下:
https://www.libssh.org/files/
https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室