Connect with us

News

Libssh scoperta una grave vulnerabilità

Avatar

Pubblicato

il

Una vulnerabilità grave è stata scoperta nella libreria di implementazione Secure Shell (SSH) nota come Libssh che potrebbe consentire a chiunque di ignorare completamente l’autenticazione e ottenere un controllo amministrativo illimitato su un server vulnerabile senza richiedere una password.

La vulnerabilità della sicurezza, tracciata come CVE-2018-10933 , è un problema di bypass di autenticazione che è stato introdotto in Libssh versione 0.6 rilasciata all’inizio del 2014, lasciando migliaia di server aziendali aperti agli hacker negli ultimi quattro anni. La vulnerabilità risiede a causa di un errore di codifica in Libssh ed è “ridicolmente semplice” da sfruttare.

Secondo un avviso di sicurezza pubblicato martedì, tutto ciò che un utente malintenzionato deve fare è inviare un messaggio “SSH2_MSG_USERAUTH_SUCCESS” a un server con una connessione SSH abilitata quando si aspetta un messaggio “SSH2_MSG_USERAUTH_REQUEST”.

A causa di un difetto logico in libssh, la libreria non riesce a convalidare se il pacchetto di “accesso riuscito” in entrata è stato inviato dal server o dal client e non riesce a controllare se il processo di autenticazione è stato completato o meno.



Pertanto, se un utente malintenzionato remoto (client) invia questa risposta “SSH2_MSG_USERAUTH_SUCCESS” a libssh, ritiene che l’autenticazione abbia avuto esito positivo e concederà al malintenzionato l’accesso al server, senza la necessità di immettere una password.

Se Libssh è installato sul tuo sito web e principalmente se stai utilizzando il componente server, ti consigliamo vivamente di installare le versioni aggiornate di Libssh il prima possibile.

Ti potrebbe interessare

Anonymous Italia lancia #OPSardegna a favore degli... In un comunicato ufficiale il collettivo Anonymous Italia prende posizione sulle ultime vicende degli agricoltori sardi per i problemi derivanti dalla...
LulzSec -Leak di oltre 26.000 email di insegnanti Un gruppo di hacker ha pubblicato indirizzi e password di oltre 26 mila caselle mail di insegnanti italiani di tutte le scuole. Il gruppo di hacker ha...
Segnali sonici e ultrasonici per bloccare i dischi... I ricercatori hanno dimostrato come i segnali sonici e ultrasonici (non udibili dall'uomo) possono essere utilizzati per causare danni fisici ai disch...
Pangu Jailbreak su IOS 12 – IPHONE XS Il team cinese Pangu è tornato e ha rilasciato in questi giorni un jailbreak per iOS 12 che gira sul nuovissimo iPhone XS.il jailbreak è un proces...

Facebook Comment


Newsletter

In Edicola


Dal 15 FEBBGRAIO 2019!

Forum

Facebook

Trending

IN EDICOLA