内容简介:报告编号:B6-2018-101601报告来源:360-CERT
报告编号:B6-2018-101601
报告来源:360-CERT
报告作者:360-CERT
更新日期:2018-10-16
0x00 事件背景
2018-10-16 libssh发布更新公告旨在解决CVE-2018-10933的问题
libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。通过向服务端提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的 SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可以进行一些恶意操作。
0x01 影响范围
libssh0.6以上的版本
目前各大发行版中都暂未对相应package进行更新,具体情况可以关注一下链接
Debain
https://security-tracker.debian.org/tracker/CVE-2018-10933
ubuntu
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10933.html
opensuse
https://www.suse.com/security/cve/CVE-2018-10933/
redhat
官方暂未发布通告
0x02 修复建议
及时对服务端libssh版本进行更新
可以在如下网址下载最新的0.7.6以及0.8.4版本
https://red.libssh.org/projects/libssh/files
或者在如下地址寻找对应版本的patch文件
https://www.libssh.org/security/
0x03 时间线
2018-10-16 libssh官方发布重要更新
2018-10-16 360CERT发布预警报告
0x04 参考链接
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)
- 讲讲用户的流失预警
- 讲讲用户的流失预警
- Influxdb 认证绕过漏洞预警
- Metrics 资料整理,多图预警
- 【漏洞预警】 S2-057远程代码执行
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
