Säkerhetsbulletin från Debian

DSA-4322-1 libssh -- säkerhetsuppdatering

Rapporterat den:
2018-10-17
Berörda paket:
libssh
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 911149.
I Mitres CVE-förteckning: CVE-2018-10933.
Ytterligare information:

Peter Winter-Smith från NCC Group upptäckte att libssh, ett litet C SSH-bibliotek innehåller en sårbarhet för autentiseringsförbigång i serverkoden. En angripare kan dra fördel av denna brist för att framgångsrikt autentisera utan några referenser genom att presentera ett SSH2_MSG_USERAUTH_SUCCESS-meddelande istället för ett SSH2_MSG_USERAUTH_REQUEST-meddelandet som servern förväntar sig för att initiera autentisering.

För den stabila utgåvan (Stretch) har detta problem rättats i version 0.7.3-2+deb9u1.

Vi rekommenderar att ni uppgraderar era libssh-paket.

För detaljerad säkerhetsstatus om libssh vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libssh