Vulnerabilità in libssh – versioni 0.6 e successive – CVE-2018-10933

17/10/2018

libssh Vulnerabilità

E’ stata di recente scoperta una vulnerabilità in libssh versioni 0.6 e successive per la quale è stato associato il CVE-2018-10933.

Dettaglio Vulnerabilità

Le versioni di libssh 0.6 e successive sono affette dalla vulnerabilità di tipo “authentication bypass” nel codice del server. In particolare, si legge dal comunicato, inviando al server un messaggio di tipo “SSH2_MSG_USERAUTH_SUCCESS” al posto del tipico messaggio “SSH2_MSG_USERAUTH_REQUEST” per instaurare l’autenticazione, un attaccante potrebbe autenticarsi senza necessariamente utilizzare le credenziali.

Server Vulnerabili

Da ricerche effettuate attraverso il servizio Shodan, così come evidenziato da altri ricercatori italiani, risultano affetti dalla vulnerabilità circa 3012 server nel mondo di cui 258 distribuiti sul territorio italiano.

Azioni consigliate

Si consiglia di aggiornare “libssh” alle versioni 0.8.4 o 0.7.6 per risolvere la vulnerabilità con CVE-2018-10933.