当前位置:论坛首页 > 宝塔公告

【安全公告】关于SSH登陆验证绕过漏洞CVE-2018-10933的解决方法

2018-10-18 12:06 [复制链接] 1 609

2018年10月17日,阿里云云盾应急响应中心监测到libssh官方发布安全公告,披露了一个SSH2登陆身份验证绕过漏洞(CVE-2018-10933)。攻击者利用漏洞可以在没有任何凭据的情况下成功进行身份验证,甚至可能登陆SSH。

漏洞描述

libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。

通过向服务端发送SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证,甚至可能登陆SSH,入侵服务器。

影响范围

libssh0.6及以上的版本,受CVE-2018-10933影响的操作系统版本: Centos5.x  , Ubuntu 18.10 , Debian 8.1 , Debian 8.2

风险评级

CVE-2018-10933:严重

安全建议

目前各大发行版OS暂未发布相应的package补丁,建议参考使用以下解决方案:

方案一:

下载官方patch文件:https://www.libssh.org/security/,重新安装libssh修复漏洞

方案二:

1、宝塔Linux面板提供SSH的开启关闭功能,无需使用SSH时,在面板上直接关闭,提升安全性,如下图
close_ssh.jpg
2、或者在宝塔微信小城程序上管理关闭SSH,如下图

IMG_0193.png

同时,宝塔面板6.0自带了web版SSH终端,如下图

ssh.jpg




使用道具 举报 只看该作者 回复

管理员

发表于 2018-10-18 15:24:00 | 显示全部楼层
安全问题不容忽视  
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

【求助贴,请有以下信息】

①错误提示截图;

②操作系统版本;

③环境信息;

信息详细,秒速帮你处理

上班时间:周一至周六 9:00~18:30

如果紧急,官网后台提交付费工单解决

小黑屋|BT.cn  

© 2014-2018 bt.cn All Rights Reserved.   Powered by Discuz! X3.2

宝塔论坛正在使用宝塔Linux面板维护管理并由尊云(zun.com)提供云服务器支持

快速回复 返回顶部 返回列表