libssh版本0.6及更高版本在服務端程式碼中具有身份驗證繞過漏洞。 通過向服務端提供SSH2_MSG_USERAUTH_SUCCESS訊息來代替服務端期望啟動身份驗證的 SSH2_MSG_USERAUTH_REQUEST訊息,攻擊者可以在沒有任何憑據的情況下成功進行身份驗證。 進而可以進行一些惡意操作。
影響範圍
libssh0.6以上的版本
目前各大發行版中都暫未對相應package進行更新,具體情況可以關注一下官網
文章圖片來源:https://www.anquanke.com/post/id/162134?fbclid=IwAR1xO8ru8ostJra8qF7iPgc9qz_tWI6OI782yVYXlvvPBTweKVftXEhv20s
前言引用來源:https://www.anquanke.com/post/id/162134?fbclid=IwAR1xO8ru8ostJra8qF7iPgc9qz_tWI6OI782yVYXlvvPBTweKVftXEhv20s
-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/