Fire år gammelt hul opdaget i libssh: total bypass af autentifikation

18. oktober 2018 kl. 11:055
Fire år gammelt hul opdaget i libssh: total bypass af autentifikation
Illustration: lekkyjustdoit/Bigstock.
Autentifikationen har uden videre kunnet omgås i libssh siden 2014. OpenSSH er ikke berørt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En alvorlig sårbarhed har set dagens lys i Secure Shell (SSH)-implementeringen libssh. Sårbarheden har gjort det muligt for en angriber at opnå uhindret administrator-adgang til et påvirket system.

Det oplyser blandt andet Ars Technica.

Som bekendt bliver SSH-protokollen brugt i mange sammenhænge, men sårbarheden vedrører kun libssh-implementeringen. Det vil sige, at eksempelvis OpenSSH ikke er berørt.

Sårbarheden i libssh, der har fået navnet CVE-2018-10933, gør det muligt at omgå autentifikations-processen ved login på en berørt server.

Artiklen fortsætter efter annoncen

Af en sikkerhedsmeddelelse hos libssh.org fremgår det, at sårbarheden har gjort det muligt at omgå autentifikationen ved at sende beskeden 'SSH2_MSG_USERAUTH_SUCCESS' til en server i stedet for 'SSH2_MSG_USERAUTH_REQUEST'.

Sårbarheden blev introduceret i libssh version 0.6, som blev publiceret i 2014.

For at hullet har kunnet udnyttes skal den sårbare udgave af libssh have kørt i server-tilstand.

Hullet er nu patched, og berørte brugere bør selvfølgeligt opdatere.

Github bruger libssh, men er ikke ramt

Det er uvist, hvor mange enheder og servere, der er ramt af sårbarheden.

Artiklen fortsætter efter annoncen

Ars Technica oplyser, at en søgning på sårbarhedsscanneren Shodan.io viser, at 6.351 sites anvender libssh. Mediet bemærker i den forbindelse, at sådan en søgning ikke er udtømmende.

Kode-sitet Github anvender libssh, men er ifølge en meddelelse fra organisationen på Twitter alligevel ikke ramt af sårbarheden. Forklaringen skulle være, at Github anvender en tilpasset udgave af libssh.

Remote video URL

I sager som denne kan det være svært at sige noget generelt om, i hvor høj grad hullet er blevet udnyttet - hvis det overhovedet er sket. Såfremt nogen har udnyttet hullet, så kan det, som Ars Technica bemærker, have nærmest uoverskuelige sikkerhedsmæssige konsekvenser.

Artiklen fortsætter efter annoncen

Mediet opfordrer i den forbindelse alle, der har kørt med en sårbar udgave af libssh i server-tilstand til at gennemføre en grundig audit af netværket.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
19. oktober 2018 kl. 11:34

Den er på nyere Ubuntu- og Debian versioner (i følge dem selv), så det er vel relevant nok at viderebringe nyheden. Men man behøver næppe køre paranoia-indikatoren hele vejen op i det røde felt.

4
19. oktober 2018 kl. 11:32

Eller vil Version2 skrive samme info om alle andre huller der findes?

Ja det gør de, det er bare ikke så mange huller i Linux, eller de bliver automatisk lukket, eller klaret "internt" . Samt det er også langt flere desktop eller ikke profesonele bruger af Windwos. Som ikke følger med i fora, og information om sikkerhed. Derfor er rapportering om huller i Windows Software mere relevant.

Hvem bruger (spilder) sin tid på at læse sikkerhed bul. og fora, hvis det ikke er vigtigt for en. Ikke mange.

Desuden er enhver sårbarhed i SSH vigtigt, da det er basis for rigtigt meget andet, helt basal sikkerhed.

Og man skal vel kende forskel på "OpenSSH" inden man kan kalde dette clickbait. Og det er nærmere en advarsel om at det ikke er nødvendigt at læse denne artikel, da denne ikke er berørt-

Man kan beskylde V2 for meget, og det gør vi alle sammen ;-) Men jeg synes ikke lige her, der ligger noget fordækt, på hverken den ene eller anden måde

3
18. oktober 2018 kl. 21:52

OpenBSD's version er sikker. Linux bruger OpenBSD's. Det lugter af clickbait (LIB?!? UHA DET MÅ VÆRE LINUX!)

Eller vil Version2 skrive samme info om alle andre huller der findes?

2
18. oktober 2018 kl. 15:33

Der er ingen populære produkter (af jeg ved af), der benytter libssh til at implementere en SSH server. Det library bliver hovedsageligt benyttet til clienter, som dette hul ikke omfatter. Så med mindre du selv har implementeret en SSH server ved hjælp af libssh, er der ikke noget du skal tage højde for rigtigt.

1
18. oktober 2018 kl. 14:51

1: hvilke produkter eller services er det udbredt i? Hvad skal vi patche nu?

2: har vi mistet noget? skal vi lave nye ssh-nøgler, eller certifikater, eller hvad?