设为首页收藏本站 开启辅助访问
搜索
    查看: 549|回复: 0

    libssh cve-2018-10933预警

    [复制链接]
    发表于 2018-10-19 22:16:56 | 显示全部楼层 |阅读模式
    一、背景简介
    2018-10-16 libssh发布更新公告旨在解决CVE-2018-10933的问题
    libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。 通过向服务端提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的 SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可以进行一些恶意操作。

    二、影响范围
    libssh0.6以上的版本
    目前各大发行版中都暂未对相应package进行更新,具体情况可以关注一下链接
    Debainhttps://security-tracker.debian.org/tracker/CVE-2018-10933
    ubuntuhttps://people.canonical.com/~ub ... CVE-2018-10933.html
    opensusehttps://www.suse.com/security/cve/CVE-2018-10933/
    redhat:官方暂未发布通告

    三、修复建议
    及时对服务端libssh版本进行更新
    可以在如下网址下载最新的0.7.6以及0.8.4版本
    https://red.libssh.org/projects/libssh/files
    或者在如下地址寻找对应版本的patch文件
    https://www.libssh.org/security/

    四、参考链接
    libssh官方更新:https://www.libssh.org/2018/10/1 ... and-bugfix-release/
    libssh修复patch:https://www.libssh.org/security/ ... 33.jmcd.patch01.txt
    libssh CVE-2018-10933说明:https://www.libssh.org/security/advisories/CVE-2018-10933.txt


    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2019-2-22 00:11 , Processed in 1.137186 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表