【安全预警】关于 libssh 身份验证绕过漏洞的通知

SetYun 发表于 2018-10-20 09:56:21 | 显示全部楼层 |阅读模式
尊敬的腾讯云用户,您好:        近日,腾讯云安全中心监测到 libssh 被曝存在认证绕过漏洞(漏洞编号:CVE-2018-10933),攻击者可利用该漏洞绕过身份验证从而登录机器,危害服务器及业务安全。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


【漏洞详情】
    libssh 0.6 及以上版本存在身份验证绕过漏洞。攻击者可以通过向服务器发送 SSH2_MSG_USERAUTH_SUCCESS 消息来代替身份验证的 SSH2_MSG_USERAUTH_REQUEST 消息从而绕过验证,在没有任何凭据的情况下成功通过身份验证,登录目标服务器危害业务安全。


【风险等级】
   高风险

【漏洞风险】
   身份验证绕过

【影响版本】
libssh 0.6 及以上版本

【安全版本】
    libssh 0.8.4 版本
    libssh 0.7.6 版本

【修复建议】
建议您参照上述【安全版本】升级到对应的最新版本(目前最新版本下载链接:https://www.libssh.org/files/
也可以参考各大发行版的相关公告进行安全修复:
【Debian】https://security-tracker.debian.org/tracker/CVE-2018-10933
Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10933.html
【Redhat】https://access.redhat.com/security/cve/cve-2018-10933

【备注】建议您在修复前做好数据备份工作,避免出现意外。


【漏洞参考】
  1)官方通告:https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/
  2)漏洞细节:https://www.libssh.org/security/advisories/CVE-2018-10933.txt

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun  

GMT+8, 2019-10-16 21:28 , Processed in 0.047230 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表