【安全公告】关于SSH登陆验证绕过漏洞CVE-2018-10933的解决方法
2018年10月17日,阿里云云盾应急响应中心监测到libssh官方发布安全公告,披露了一个SSH2登陆身份验证绕过漏洞(CVE-2018-10933)。攻击者利用漏洞可以在没有任何凭据的情况下成功进行身份验证,甚至可能登陆SSH。漏洞描述
libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。
通过向服务端发送SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证,甚至可能登陆SSH,入侵服务器。
影响范围
libssh0.6及以上的版本,受CVE-2018-10933影响的操作系统版本: Centos5.x, Ubuntu 18.10 , Debian 8.1 , Debian 8.2
风险评级
CVE-2018-10933:严重
安全建议
目前各大发行版OS暂未发布相应的package补丁,建议参考使用以下解决方案:
方案一:
下载官方patch文件:https://www.libssh.org/security/,重新安装libssh修复漏洞
方案二:
1、宝塔Linux面板提供SSH的开启关闭功能,无需使用SSH时,在面板上直接关闭,提升安全性,如下图
2、或者在宝塔微信小城程序上管理关闭SSH,如下图
同时,宝塔面板6.0自带了web版SSH终端,如下图
安全问题不容忽视
页:
[1]