Otkrivena kritična ranjivost u libssh

Peter Winter-Smith konsultant u kompaniji NCC Group otkrio je kritičnu ranjivost koja pogađa libssh implementaciju SSH (Secure Shell ) protokola za udaljeni pristup. Ranjivost, označena sa CVE-2018-10933, omogućava zaobilaženje autentifikacije i omogućava napadaču da se uloguje na server bez posjedovanja kredencijala.

Ranjivost pogađa libssh verzije 0.6 i novije, a otklonjena je u verzijama 0.8.4 i 0.7.6 koje su objavljene ove sedmice. Pogođeno je više Linux distribucija za koja se mogu očekivati ažuriranja u skoroj budućnosti.

Kako bi se CVE-2018-10933 eksploatisala potrebni su posebni uslovi na serveru, što znači da svi serveri koji koriste ranjive verzije nisu pogođeni.

Potrebno je napomenuti da ova ranjivost nema efekta na OpenSSH, libssh2, curl ili libcurl.

Mnogi korisnici su izrazili zabrinutost, jer poznata stranica za dijeljenje koda GitHub koristi libssh. Iz GitHub-a su izjavili da su preventivno primijenili ažuriranja iako ranjivost ne pogađa njihove servere zbog načina na koji koriste libssh.

Preporučujemo vam da primijenite navedena ažuriranja i da pročitate tehničku analizu objavljenu od strane NCC Group koju možete pronaći ovdje.

 

 

 

Izvor:securityweek.com