Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Autentifikazioa saihestea libssh liburutegian

Argitalpen data: 2018/10/17

Garrantzia: Handia

Kaltetutako baliabideak:

  • 0.8.4 eta 0.7.6 baino lehenagoko libssh bertsioak

Azalpena:

NCC Group-eko Peter Winter-Smith ikertzaileak ahultasun bat aurkitu du libssh liburutegian. Hori baliatuz, erasotzaile bat liburutegiaren kaltetutako bertsioak erabiltzen dituzten SSH saioetan kredentzialak sartu gabe autentifikatu liteke.

Konponbidea:

libssh 0.8.4 edo 0.7.6 bertsioetara eguneratzea.

Xehetasuna:

SSH2_MSG_USERAUTH_SUCCESS mezua zerbitzariari aurkez lekioke  SSH2_MSG_USERAUTH_REQUEST mezuaren ordez, eta horrela autentifikazio prozesua saihets liteke. Ahultasun horretarako CVE-2018-10933 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna