TR-18-138 (libssh Güvenlik Güncellemesi Yayınladı)

Genel Bilgi

libssh; server kodunda çalışan SSH2_MSG_USERAUTH_REQUEST mesajının SSH2_MSG_USERAUTH_SUCCESS mesajı ile değiştirilmesi sonucu ortaya çıkan kimlik doğrulama bypass zafiyetini (CVE-2018-10933) gidermeyi hedefleyen güvenlik güncellemesi yayınladı.

Etki

Mevcut güvenlik açıklığı nedeniyle etkilenen sistemlerin siber saldırganlar tarafından kontrol altına alınması ihtimal dâhilindedir.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM), kullanıcı ve sistem yöneticilerine; libssh'ın yayınladığı Güvenlik Önerilerini incelemelerini ve gerekli versiyon güncellemelerini (Versiyon 0.6 ve üzerinin 0.8.4 ve 0.7.6) yapmalarını tavsiye etmektedir. 

Kaynaklar

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10933

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

https://www.us-cert.gov/ncas/current-activity/2018/10/19/libssh-Releases-Security-Updates

2018-10-20