Jetzt patchen: Schwachstelle in libssh erlaubt Anmeldung ohne Zugangsdaten

Fehler im Server-Code der Programmbibliothek libssh ab Version 0.6 sorgen dafür, dass ungebetene Gäste leichtes Spiel haben. Updates sind verfügbar.

In Pocket speichern vorlesen Druckansicht 89 Kommentare lesen
Jetzt patchen: Schwachstelle in libssh erlaubt Anmeldung ohne Zugangsdaten

(Bild: AlanDavidRobb)

Lesezeit: 1 Min.

Wer die SSH-Programmbibliothek libssh auf Serverseite nutzt, sollte diese zĂĽgig updaten. Eine kritische SicherheitslĂĽcke erlaubt Angreifern, den Authentifizierungsprozesses zu umgehen, sprich: den Serverzugriff ohne Zugangsdaten. Laut Security Advisory des Entwickler-Teams mĂĽssten sie dem Server dazu eine SSH2_MSG_USERAUTH_SUCCESS- statt der von diesem erwarteten SSH2_MSG_USERAUTH_REQUEST-Nachricht schicken.

Die libssh-Entwickler haben die Schwachstelle CVE-2018-10933, die in sämtlichen Programmbibliotheksversionen ab einschließlich 0.6 steckt, geschlossen. Die gefixten Versionen 0.8.4 und 0.7.6 stehen zum Download bereit.

Details zu den enthaltenen Änderungen führt das Entwicklerteam in der zugehörigen Release-Ankündigung auf.

[Update 17.10.18, 13:33]: "Passwort" im Text in "Zugangsdaten" geändert. Danke für den Hinweis! (ovw)