DFN-CERT

Advisory-Archiv

2018-2100: Bibliothek libssh: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-10-17 11:57)
Neues Advisory
Version 2 (2018-10-17 18:31)
Canonical stellt für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'libssh' bereit, um die Schwachstelle zu beheben.
Version 3 (2018-10-18 11:14)
Für die Distribution openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der libssh-Schwachstelle zur Verfügung.
Version 4 (2018-10-18 16:07)
Für Debian Stretch (stable) 9.5 steht ein Backport-Sicherheitsupdate für das Paket 'libssh' zur Behebung der Schwachstelle bereit.
Version 5 (2018-10-18 20:20)
Für Debian Jessie (LTS) 8.11 steht ein Backport-Sicherheitsupdate für das Paket 'libssh' zur Behebung der Schwachstelle bereit.
Version 6 (2018-10-22 12:01)
Für die SUSE Linux Enterprise Produkte Workstation Extension, Software Development Kit und Desktop in Version 12 SP3 sowie openSUSE Leap 42.3 wurden auf Backports basierende Sicherheitsupdates veröffentlicht.
Version 7 (2018-10-23 12:34)
Canonical veröffentlicht für Ubuntu 18.10 ein Sicherheitsupdate für 'libssh' zur Behebung der Schwachstelle.
Version 8 (2018-11-30 10:20)
Durch die in USN-3795-1 und USN-3795-2 beschriebenen Sicherheitsupdates wurde eine Regression eingeführt, zu deren Behebung nun mit USN-3795-3 ein neues Sicherheitsupdate für Ubuntu 18.10, 18.04 LTS, 16.04 LTS und 14.04 LTS bereit steht.

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle in der Bibliothek libssh ausnutzen, um Sicherheitsvorkehrungen zu umgehen und sich in der Folge erfolgreich authentisieren, ohne im Besitz passender Credentials (Zugangsdaten) zu sein.

Der Hersteller stellt die Releases 0.8.4 und 0.7.6 zum Download zur Behebung der Schwachstelle bereit und stuft das Sicherheitsupdate als 'important' ein.
Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'libssh-0.7.6-1.fc27' und 'libssh-0.8.4-1.fc28' im Status 'pending' zur Verfügung.

Für SUSE Linux Enterprise Module for Basesystem 15 wurde ein auf einem Backport basierendes Sicherheitsupdate veröffentlicht.

Schwachstellen:

CVE-2018-10933

Schwachstelle in libssh ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.