Falha relacionada a erro de codificação afeta a versão 0.6.0 da biblioteca

Tempest Security
Oct 24, 2018 · 2 min read

Após a divulgação de que a biblioteca libssh possui uma vulnerabilidade que permite a atacantes ignorarem a autenticação de senha para acessar um servidor com conexão SSH, fornecedores que utilizam a biblioteca começaram a investigar se seus produtos são afetados.

A Cisco Systems e a F5 Networks estão entres as empresas que analisam se seus produtos foram afetados. A primeira ainda não confirmou se isto ocorreu e a segunda, por sua vez, informou que até o momento a falha foi encontrada apenas nos controladores de entrega de aplicativos BIG-IP, mas afirmou que somente nos servidores virtuais BIG-IP AFM SSH que usam autenticação baseada em chave são vulneráveis. A Red Hat Enterprise Linux 7 Extras foi também dado como vulnerável, igualmente o Debian (corrigido na versão 0.7.3–2 + deb9u1), Ubuntu (18.04 LTS, 16.04 LTS, 14.04 LTS e derivados), e SUSE Linux Enterprise 12 e 15.

A falha CVE-2018–10933, relatada no dia 17, afeta a versão 0.6.0 da libssh e ocorre devido a um erro de codificação, que permite que o servidor entenda que a autenticação ocorreu, mesmo sem inserção de senha, apenas com o envio da mensagem “SSH2_MSG_USERAUTH_SUCCESS”. As correções estão disponíveis nas versões 0.8.4 e 0.7.6 da biblioteca.


Artigo originalmente publicado no aplicativo Tempest Soundbites, disponível para clientes da Tempest em versões para Android e iOS. Para obter uma credencial, fale com seu gerente de relacionamento.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Tempest Security

Written by

Empresa líder no mercado brasileiro de segurança da informação e combate a fraudes digitais, atuando desde o ano 2000.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade