当前位置:论坛首页 > 宝塔公告

【安全公告】关于SSH登陆验证绕过漏洞CVE-2018-10933的解决方法

2018-10-18 12:06 [复制链接] 1 5292

2018年10月17日,阿里云云盾应急响应中心监测到libssh官方发布安全公告,披露了一个SSH2登陆身份验证绕过漏洞(CVE-2018-10933)。攻击者利用漏洞可以在没有任何凭据的情况下成功进行身份验证,甚至可能登陆SSH。

漏洞描述

libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。

通过向服务端发送SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证,甚至可能登陆SSH,入侵服务器。

影响范围

libssh0.6及以上的版本,受CVE-2018-10933影响的操作系统版本: Centos5.x  , Ubuntu 18.10 , Debian 8.1 , Debian 8.2

风险评级

CVE-2018-10933:严重

安全建议

目前各大发行版OS暂未发布相应的package补丁,建议参考使用以下解决方案:

方案一:

下载官方patch文件:https://www.libssh.org/security/,重新安装libssh修复漏洞

方案二:

1、宝塔Linux面板提供SSH的开启关闭功能,无需使用SSH时,在面板上直接关闭,提升安全性,如下图
close_ssh.jpg
2、或者在宝塔微信小城程序上管理关闭SSH,如下图

IMG_0193.png

同时,宝塔面板6.0自带了web版SSH终端,如下图

ssh.jpg




使用道具 举报 只看该作者 回复
发表于 2018-10-18 15:24:00 | 显示全部楼层
安全问题不容忽视  
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表