Jetzt patchen: Schwachstelle in libssh erlaubt Anmeldung ohne Zugangsdaten
Fehler im Server-Code der Programmbibliothek libssh ab Version 0.6 sorgen dafür, dass ungebetene Gäste leichtes Spiel haben. Updates sind verfügbar.
(Bild: AlanDavidRobb)
Wer die SSH-Programmbibliothek libssh auf Serverseite nutzt, sollte diese zügig updaten. Eine kritische Sicherheitslücke erlaubt Angreifern, den Authentifizierungsprozesses zu umgehen, sprich: den Serverzugriff ohne Zugangsdaten. Laut Security Advisory des Entwickler-Teams müssten sie dem Server dazu eine SSH2_MSG_USERAUTH_SUCCESS- statt der von diesem erwarteten SSH2_MSG_USERAUTH_REQUEST-Nachricht schicken.
Die libssh-Entwickler haben die Schwachstelle CVE-2018-10933, die in sämtlichen Programmbibliotheksversionen ab einschließlich 0.6 steckt, geschlossen. Die gefixten Versionen 0.8.4 und 0.7.6 stehen zum Download bereit.
Details zu den enthaltenen Änderungen führt das Entwicklerteam in der zugehörigen Release-Ankündigung auf.
[Update 17.10.18, 13:33]: "Passwort" im Text in "Zugangsdaten" geändert. Danke für den Hinweis! (ovw)
