CVE-2018-10933 – 绿盟科技技术博客

【预警通告】Libssh 服务器端身份验证绕过漏洞CVE-2018-10933

2018-10-17绿盟科技CVE-2018-10933, libssh, libssh服务器端身份验证绕过

当地时间10月16日，libssh 官方发布更新公告修复了0.6及更高版本中存在的一个服务器端身份验证绕过漏洞（CVE-2018-10933）。通过向服务器提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务器正常启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息，攻击者可以在没有任何凭据的情况下成功进行身份验证。