【即将关站通知●已关闭注册功能】,倒计时剩余:计算中...

[服务器技术] 关于SSH登陆验证绕过漏洞CVE-2018-10933的解决方法

[复制链接]
魔趣吧站长魔趣吧官方成员 实名认证 发表于 2018-10-18 15:56:51 | 显示全部楼层 |阅读模式
2018年10月17日,阿里云云盾应急响应中心监测到libssh官方发布安全公告,披露了一个SSH2登陆身份验证绕过漏洞(CVE-2018-10933)。攻击者利用漏洞可以在没有任何凭据的情况下成功进行身份验证,甚至可能登陆SSH。
漏洞描述! c* d* t  n3 V# d/ \5 Y4 h
, r7 `# G7 t7 L6 h8 J. S/ L3 G) G
libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。* P9 j. q3 k4 t) E$ p

6 h2 H8 O% F7 d+ u& l通过向服务端发送SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证,甚至可能登陆SSH,入侵服务器。9 i  L; o0 y8 V/ o6 ?$ r
Summary
There is a vulnerability within the server code which can enable a client to bypass the authentication process and set the internal state machine maintained by the library to authenticated, enabling the (otherwise prohibited) creation of channels.
Description
libssh versions 0.6 and above have an authentication bypass vulnerability in the server code. By presenting the server an SSH2_MSG_USERAUTH_SUCCESS message in place of the SSH2_MSG_USERAUTH_REQUEST message which the server would expect to initiate authentication, the attacker could successfully authentciate without any credentials.

9 L% q: T5 A) _9 K, B8 K影响范围1 E7 n; K2 l) m' Y5 E9 i" Z9 {
$ Y& [  P- d& Z  B7 m7 g
libssh0.6及以上的版本,受CVE-2018-10933影响的操作系统版本: Centos5.x  , Ubuntu 18.10 , Debian 8.1 , Debian 8.2
" ^1 U9 Y% X( m  `' i2 z4 s# _$ u# E9 |# B# f9 r! L) \
风险评级- M2 K  h: @, A* M5 Y2 B: G
" F! _* C( v& l- }: O  T
CVE-2018-10933:严重
7 s$ r5 y0 [8 b( u, ]4 F. z7 u! }' s0 r. M9 T
安全建议. R  M. l7 P+ X, {4 `# e
1 d1 ?8 K; I' T$ J. C& o
目前各大发行版OS暂未发布相应的package补丁,建议参考使用以下解决方案:& T2 F  m4 `+ v/ ^( N: g. o

+ D4 z4 ?6 p. m5 W方案一:
1 W2 V/ }# h! a0 P; w& J7 U( |9 T7 ]1 ]/ ]
下载官方patch文件:https://www.libssh.org/security/,重新安装libssh修复漏洞
& [0 S- F, J$ r) [. i9 t9 X; w0 k* E2 A0 ^+ G. q4 r

' F. o% C, c# }# k  x

5 j& j1 M5 C; w! [方案二:
$ t, A9 g# T2 o% w* b& S9 J& J+ X4 B: G" r

4 K  G. t1 J/ q' Z+ f6 l关闭SSH
& t: Z; W3 `& Q5 F8 {- N& f8 f" [/ {; F% U0 u% H

魔趣吧版权声明1,本文内容及相关资源来源于网络,版权归版权方所有!本站原创内容版权归本站所有,请勿转载!
2,本文内容仅代表作者本人观点,不代表本网站立场,作者文责自负,本站资源仅供学习研究,请勿非法使用,否则后果自负!请下载后24小时内删除!
3,本文内容,包括但不限于源码、文字、图片等,仅供参考使用,本站不对其安全性,正确性等作出保证。但本站会尽量审核会员发表的内容
4,如您认为本文内容侵犯了您的权益,请与我们联系!我们将在5个工作日内做出处理!本站保留全部修改、解释、更新本声明的权利魔趣吧

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

在线支持
关闭
欢迎来到魔趣吧
如果你有建站技术问题、仿站需求、模板插件修改需求,请联系我们的技术支持!高效率,低价格的帮你搞定!
请认准魔趣吧唯一官网:www.moqu8.com,谨防假冒网站!

一般问题请到【求助区】发帖咨询(免费)!

邮箱咨询:
winkill2012@qq.com

邮箱咨询需注明:资源地址+本站用户名+具体问题,三者缺一不做处理。非本站资源不处理!
在线支持
快速回复 返回列表

关于魔趣吧|魔趣建站

魔趣吧,志在打造全国最大的建站资源共享平台。 本站提供海量免费的建站资源,包括WordPress模板、Discuz精仿模板、PHPWind模板、phpcms模板、Discuz精仿插件、帝国cms模板、织梦模板等上万精品模板!同时,提供各种建站素材、JS特效、整站程序源码!
服务中文站长,传播分享精神!建站,就来魔趣吧!!
2015-2024 魔趣吧 ( 豫ICP备2021024354号 )   豫公网安备41030402000182号 百度统计
HTTPS安全认证
|网站地图 | 已运行:天 
温馨提示:本站所有资源、教程、源码,不得用于非法站点及用途,否则,本站将终止提供任何服务! Powered by Discuz! Licensed