Säkerhetsbulletin från Debian
DSA-4322-1 libssh -- säkerhetsuppdatering
- Rapporterat den:
- 2018-10-17
- Berörda paket:
- libssh
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 911149.
I Mitres CVE-förteckning: CVE-2018-10933. - Ytterligare information:
-
Peter Winter-Smith från NCC Group upptäckte att libssh, ett litet C SSH-bibliotek innehåller en sårbarhet för autentiseringsförbigång i serverkoden. En angripare kan dra fördel av denna brist för att framgångsrikt autentisera utan några referenser genom att presentera ett SSH2_MSG_USERAUTH_SUCCESS-meddelande istället för ett SSH2_MSG_USERAUTH_REQUEST-meddelandet som servern förväntar sig för att initiera autentisering.
För den stabila utgåvan (Stretch) har detta problem rättats i version 0.7.3-2+deb9u1.
Vi rekommenderar att ni uppgraderar era libssh-paket.
För detaljerad säkerhetsstatus om libssh vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libssh