Connect with us

News

Libssh scoperta una grave vulnerabilità

Avatar

Pubblicato

il

Una vulnerabilità grave è stata scoperta nella libreria di implementazione Secure Shell (SSH) nota come Libssh che potrebbe consentire a chiunque di ignorare completamente l’autenticazione e ottenere un controllo amministrativo illimitato su un server vulnerabile senza richiedere una password.

La vulnerabilità della sicurezza, tracciata come CVE-2018-10933 , è un problema di bypass di autenticazione che è stato introdotto in Libssh versione 0.6 rilasciata all’inizio del 2014, lasciando migliaia di server aziendali aperti agli hacker negli ultimi quattro anni. La vulnerabilità risiede a causa di un errore di codifica in Libssh ed è “ridicolmente semplice” da sfruttare.

Secondo un avviso di sicurezza pubblicato martedì, tutto ciò che un utente malintenzionato deve fare è inviare un messaggio “SSH2_MSG_USERAUTH_SUCCESS” a un server con una connessione SSH abilitata quando si aspetta un messaggio “SSH2_MSG_USERAUTH_REQUEST”.

A causa di un difetto logico in libssh, la libreria non riesce a convalidare se il pacchetto di “accesso riuscito” in entrata è stato inviato dal server o dal client e non riesce a controllare se il processo di autenticazione è stato completato o meno.



Pertanto, se un utente malintenzionato remoto (client) invia questa risposta “SSH2_MSG_USERAUTH_SUCCESS” a libssh, ritiene che l’autenticazione abbia avuto esito positivo e concederà al malintenzionato l’accesso al server, senza la necessità di immettere una password.

Se Libssh è installato sul tuo sito web e principalmente se stai utilizzando il componente server, ti consigliamo vivamente di installare le versioni aggiornate di Libssh il prima possibile.

Ti potrebbe interessare

Copyright , Stop Riforma UE, non piace ai paesi me... Il percorso della nuova riforma del Copyright in particolare degli articoli 11 e 13 è  stata di fatto bloccata. Nella giornata di domani 21 Gennaio, e...
Una vulnerabilità di Fortnite rivelata da Check Po... Sei tra i circa 80 milioni di giocatori di Fortnite? Bene, allora devi sapere che i ricercatori di Check Point Software Tecnologies Ltd hanno rivelato...
Sistemi Linux vulnerabili, scoperto nuovo exploit ... Un ricercatore security indiano  ha scoperto un bug critico nel pacchetto X.Org Server che influisce su OpenBSD e sulla maggior parte delle distribuzi...
Milioni di telefoni Android vulnerabili all’... I ricercatori di sicurezza di Check Point Software Technologies hanno scoperto una nuova metodologia di attacco contro il sistema operativo Android ch...

Facebook Comment


In Edicola


Dal 15 FEBBGRAIO 2019!

Forum

Facebook

Trending

IN EDICOLA