天融信關於CVE-2018-10933 libssh身份驗證繞過漏洞預警
一、背景介紹
libssh 是一個在客戶端和服務端實現SSHv2協議的多平臺C庫。通過它可以執行遠端命令、檔案傳輸,也能為遠端的程式提供安全的傳輸通道。同時它也支援非同步連結,SFTP,SCP和OpenSSH擴充套件,並且是執行緒安全的,在同一時間可使用不同的會話。
1.1漏洞描述
根據釋出的安全公告宣告,通過向libssh服務端傳送SSH2_MSG_USERAUTH_SUCCESS訊息來代替服務端期望啟動身份驗證的SSH2_MSG_USERAUTH_REQUEST訊息,可在沒有任何憑據的情況下成功進行身份驗證。
1.2漏洞編號
CVE-2018-10993
1.3漏洞等級
高危
二、修復建議
2.1受影響版本
libssh 0.6以及更高的版本
2.2漏洞驗證
2.3解決方案
- 及時對服務端libssh版本進行更新,官方0.74以及0.86版本更新地址如下:
https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/
- 下載對應版本的patch檔案,下載地址如下:
https://www.libssh.org/security/
三、天融信技術支援熱線
天融信公司後續將積極為使用者提供技術支援,進行持續跟蹤並及時通報進展。
獲取支援聯絡方式如下:
1.直接撥打400-610-5119電話聯絡當地技術支援團隊獲得支援。
2.直接撥打400-777-0777電話聯絡總部技術支援團隊獲得支援。