【安全预警】关于 libssh 身份验证绕过漏洞的通知

尊敬的腾讯云用户，您好：        近日，腾讯云安全中心监测到 libssh 被曝存在认证绕过漏洞（漏洞编号：CVE-2018-10933），攻击者可利用该漏洞绕过身份验证从而登录机器，危害服务器及业务安全。
       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。


【漏洞详情】
    libssh 0.6 及以上版本存在身份验证绕过漏洞。攻击者可以通过向服务器发送 SSH2_MSG_USERAUTH_SUCCESS 消息来代替身份验证的 SSH2_MSG_USERAUTH_REQUEST 消息从而绕过验证，在没有任何凭据的情况下成功通过身份验证，登录目标服务器危害业务安全。


【风险等级】
   高风险

【漏洞风险】
   身份验证绕过

【影响版本】
libssh 0.6 及以上版本

【安全版本】
    libssh 0.8.4 版本
    libssh 0.7.6 版本

【修复建议】
建议您参照上述【安全版本】升级到对应的最新版本（目前最新版本下载链接：https://www.libssh.org/files/ ）
也可以参考各大发行版的相关公告进行安全修复：
【Debian】https://security-tracker.debian.org/tracker/CVE-2018-10933
【

Ubuntu

】https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10933.html
【Redhat】https://access.redhat.com/security/cve/cve-2018-10933

【备注】建议您在修复前做好数据备份工作，避免出现意外。


【漏洞参考】
  1）官方通告：https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/
  2）漏洞细节：https://www.libssh.org/security/advisories/CVE-2018-10933.txt