天融信關於CVE-2018-10933 libssh身份驗證繞過漏洞預警

摘要： 一、背景介紹 libssh 是一個在客戶端和服務端實現SSHv2協議的多平臺C庫。通過它可以執行遠端命令、檔案傳輸，也能為遠端的程式提供安全的傳輸通道。同時它也支援非同步連結，SFTP,SCP和OpenSSH擴充套件，並且是執行緒安全的，在同一時間可使用不同的會話。 1.1漏洞描述 ...

一、背景介紹

libssh 是一個在客戶端和服務端實現SSHv2協議的多平臺C庫。通過它可以執行遠端命令、檔案傳輸，也能為遠端的程式提供安全的傳輸通道。同時它也支援非同步連結，SFTP,SCP和OpenSSH擴充套件，並且是執行緒安全的，在同一時間可使用不同的會話。

1.1漏洞描述

根據釋出的安全公告宣告，通過向libssh服務端傳送SSH2_MSG_USERAUTH_SUCCESS訊息來代替服務端期望啟動身份驗證的SSH2_MSG_USERAUTH_REQUEST訊息，可在沒有任何憑據的情況下成功進行身份驗證。

1.2漏洞編號

CVE-2018-10993

1.3漏洞等級

高危

二、修復建議

2.1受影響版本

libssh 0.6以及更高的版本

2.2漏洞驗證

                                                                              

2.3解決方案

1. 及時對服務端libssh版本進行更新，官方0.74以及0.86版本更新地址如下：

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

1. 下載對應版本的patch檔案，下載地址如下：

https://www.libssh.org/security/

三、天融信技術支援熱線

天融信公司後續將積極為使用者提供技術支援，進行持續跟蹤並及時通報進展。

獲取支援聯絡方式如下：

1.直接撥打400-610-5119電話聯絡當地技術支援團隊獲得支援。

2.直接撥打400-777-0777電話聯絡總部技術支援團隊獲得支援。