中心首页 » 安全公告 » 正文

Libssh服务器端身份验证绕过漏洞CVE-2018-10933 威胁预警通告

发布时间:2018-10-17

综述

当地时间1016日,libssh官方发布更新公告修复了0.6及更高版本中存在的一个服务器端身份验证绕过漏洞(CVE-2018-10933)。通过向服务器提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务器正常启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证。

 

CVSS V3.0 Base Score 9.8

CVSS3.0/AVN/ACL/PRN/UIN/SU/CH/IH/AH

 

参考链接:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

 

受影响的版本

l libssh version >= 0.6

l libssh version < 0.8.4

l libssh version < 0.7.6

 

不受影响的版本

l libssh version = 0.8.4 0.7.6

 

解决方案

官方已发布不受影响版本。建议受影响用户尽快升级。已修复版本Libssh 0.8.40.7.6下载链接如下:

https://www.libssh.org/files/

版权所有 广州医科大学信息与数据管理中心