Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4322-1 libssh

Säkerhetsbulletin från Debian

DSA-4322-1 libssh -- säkerhetsuppdatering

Rapporterat den:

2018-10-17

Berörda paket:

libssh

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 911149.
I Mitres CVE-förteckning: CVE-2018-10933.

Ytterligare information:

Peter Winter-Smith från NCC Group upptäckte att libssh, ett litet C SSH-bibliotek innehåller en sårbarhet för autentiseringsförbigång i serverkoden. En angripare kan dra fördel av denna brist för att framgångsrikt autentisera utan några referenser genom att presentera ett SSH2_MSG_USERAUTH_SUCCESS-meddelande istället för ett SSH2_MSG_USERAUTH_REQUEST-meddelandet som servern förväntar sig för att initiera autentisering.

För den stabila utgåvan (Stretch) har detta problem rättats i version 0.7.3-2+deb9u1.

Vi rekommenderar att ni uppgraderar era libssh-paket.

För detaljerad säkerhetsstatus om libssh vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libssh