The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критическая уязвимость в библиотеке Libssh

17.10.2018 23:21

В новых выпусках библиотеки libssh 0.8.4 и 0.7.6 (не путать с libssh2), предназначенной для добавления клиентской и серверной поддержки протокола SSH в программы на языке Си, устранена критическая уязвимость (CVE-2018-10933). Уязвимость позволяет обойти стадию аутентификации в серверных приложениях на базе libssh.

Атака сводится к отправке сообщения SSH2_MSG_USERAUTH_SUCCESS вместо сообщения SSH2_MSG_USERAUTH_REQUEST, после чего сервер даже не начинает стадию аутентификации и считает подключение авторизованным без сверки учётных данных. Проблема проявляется начиная с ветки Libssh 0.6, выпущенной в 2014 году, в которой была проведена унификация кода реализаций клиента и сервера (клиент считает аутентификацию успешной после получения SSH2_MSG_USERAUTH_SUCCESS, но использование кода с данной проверкой при обработке серверной логики привело к возможности получения доступа вообще без аутентификации).

Для тестирования подготовлен прототип эксплоита. Уязвимость проявляется только в приложениях, работающих в режиме сервера (очень редкая ситуация, так как libssh в основном используется для создания SSH-клиентов). Исключение составляет продукт GitHub Enterprise, в котором libssh также применяется и в режиме сервера. Но GitHub Enterprise не подвержен уязвимости так как использует собственный форк Libssh в котором задействованы собственные процедуры прохождения аутентификации.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: libssh - библиотека для интеграции поддержки SSH в программы на языке Си
  3. OpenNews: Релиз библиотеки libssh 0.5.0
  4. OpenNews: Релиз библиотеки libssh 0.6.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49453-libssh
Ключевые слова: libssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анастасия (??), 23:40, 17/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Прежде чем паникеры разорвутся - openssh тут не причём
     
     
  • 2.2, Dmitriy (??), 00:15, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А было бы очень эпично :)
     
     
  • 3.7, pavlinux (ok), 02:53, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пакеты Debian юзающие libssh: qtwebengine-opensource-src, nbdkit, gst-libav1.0,
    ffmpeg, curl, vlc, doublecmd, libssh, ssh-audit, wireshark.

    В общем хрень, в основном используется для sftp-клиентов.

     
     
  • 4.8, Custom (??), 03:10, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    где в списке plex?
     
  • 4.9, Аноним (9), 03:15, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так речь не про неё. Из того, что я нашёл, вот это довольно критично:

    kde-apps/kio-extras-18.08.2 (sftp ? net-libs/libssh[sftp])

    От ssh2 зависят mc и qemu с ssh (никогда не использовал), и захардкожена как зависимость в расте. Но опять же, она тут ни при чём, там и нумерация версий другая. Не перепутаешь.

     
     
  • 5.10, pavlinux (ok), 03:22, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Так речь не про неё.

    fixed // regex корявенько натравил.

     
  • 2.3, Custom (??), 00:45, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не совсем правда, ведь специально можно собрать openssh с libssh
     
  • 2.4, Custom (??), 00:58, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.shodan.io/search?query=libssh
     
     
  • 3.11, Аноним (11), 05:46, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    не много. и в основном в штатах. Эпичненько.
     

  • 1.5, Аноним (5), 01:59, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сезам - откройся!
     
  • 1.6, Аноним (6), 02:21, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://i.ytimg.com/vi/94F5S75ybSI/maxresdefault.jpg
     
     
  • 2.12, Игорь (??), 06:42, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а вообще кто нибудь видел вживую в консоли такое окошко "ACCESS GRANTED" ?
     
     
  • 3.14, gpyra (ok), 08:01, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я видел в фильмах
     
     
  • 4.25, Игорь (??), 12:31, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Читать то умеешь ?
    спросил же - вживую
    в фильмах еще не то бывает ...
     
     
  • 5.26, Аноним (26), 12:58, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Он что, мёртвый фильмы смотрел?
     
  • 3.15, Аноним (15), 08:36, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Причем оно должно быть обязательно мигающим и с 3D-эффектом.
     
     
  • 4.29, Аноним (-), 13:49, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Причем оно должно быть обязательно мигающим и с 3D-эффектом.

    Ну так положите уже гламурную ANSI "картинку" в motd. Этим баяном еще на BBSках народ развлекался, а вы до сих пор тупите.

     
     
  • 5.33, пох (?), 18:25, 19/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    причем тут motd? Мало ли какой муры туда понапихали, картинка должна всплывать поверх нее. Оно должно выводиться pam'ом из session. Там коллбэк вообще-то предусмотрен, то есть, в принципе, написать можно.

     
  • 3.30, Аноним (30), 18:16, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я видел неоднократно. Но это потому, что я его туда сам и нарисовал. Когда время есть, люблю в скритпы подобавлять эстетики в духе фильмов про хакеров. Работает точно так же, но в экран смотреть намного приятнее.
     

  • 1.13, Аноним (13), 07:21, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Очень похоже на хороший бекдорчик с 2014 года. Кто запатчил соответствующие строки?
     
     
  • 2.16, Аноним (15), 08:42, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем бэкдорить libssh, которою используют полторы калеки, когда в каждый дистрибутив линукса и бзд-ы уже установлен универсальный бекдор под названием OpenSSL?
    Посмотрите вот на это
    https://www.openssl.org/news/vulnerabilities.html
    Страница за страницей "уязвимостей" одна хуже(лучше-cia гарантирует) другой.
    Кто этот код пишет что в нем столько дыр, генератор случайных чисел?
     
     
  • 3.17, mumu (ok), 08:51, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут уже были умники, которые решили "А напишем мы свой *SSL, простой и без багов". В результате так же, стабильно раз в пол года садятся в лужу.
    Вывод: Дырок нет лишь там, где их не ищут.
     
     
  • 4.27, Аноним (26), 12:59, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вывод неправильный.
    Что, конечно, не удивительно для утопленика.
     
     
  • 5.31, Аноним (31), 08:04, 19/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    о, дартаньяны-теоретики в треде
     
  • 3.18, Аннт (?), 09:47, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там все же одна критическая на десятилетие и то в одной версии. Остальное всё мелочи.
    Просто такая тупая бага, как в сабже, напоминает еще в мускуле багу, которую нашли через 10 лет спустя - тоже в авторизации и без пароля. Ну извините, но это же школонизм. Нужно начинать с основ, чем пилить что-то сложное далее. Поэтому и похоже на искусственный бэкдорчик.
     
     
  • 4.20, нах (?), 09:55, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да нет, похоже на типичного пыoнэpa-улучшайку, начитавшегося в учебнике про необходимость и полезность унификации кода, и полезшего улучшать то, что в улучшениях не нуждалось.

    "услужливый дурак опаснее врага".

     
  • 4.22, Аноним (15), 10:56, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Поэтому и похоже на искусственный бэкдорчик.

    Бэкдор похож на бэкдор? Внезапно.

     
  • 4.24, Аноним (24), 11:52, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Просто такая тупая бага, как в сабже
    > я не человек, поэтому не совершаю ошибок

    Модеры, тут робот, баньте его.

     
     
  • 5.34, пох (?), 18:26, 19/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    какой к чорту робот, нежить обычная. Пусть бродит.
     
  • 3.19, нах (?), 09:53, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кто этот код пишет что в нем столько дыр, генератор случайных чисел?

    люди. Которым свойственно ошибаться. Особенно в такой безумной мегахрени как полная реализация ssl/tls, еще и переписываемая каждые пять лет.

    вот кто и зачем этот мусор - и сам ssl/tls, и его уродливую реализацию, тащит везде, включая openssh, хотя то, с чего он склонирован, прекрасно обходилось собственными реализациями криптопримитивов,а остальное ненужное ненужно - это отдельная песня.

    по хорошему ему место исключительно в браузерах (которым уже нечего терять) и ssl-vpn клиентах. Всем остальным полная реализация всех-всех наворотов протокола избыточна и вредна.

     
     
  • 4.21, Аноним (15), 10:54, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >люди. Которым свойственно ошибаться. Особенно в такой безумной мегахрени как полная реализация ssl/tls, еще и переписываемая каждые пять лет.

    Наивность красит только юных гимназисток. Наивный мужчина - синоним дурака.

     
     
  • 5.23, Аноним (23), 10:58, 18/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>люди. Которым свойственно ошибаться. Особенно в такой безумной мегахрени как полная реализация ssl/tls, еще и переписываемая каждые пять лет.
    > Наивность красит только юных гимназисток. Наивный мужчина - синоним дурака.

    Не Аноним, я с тобой не согласен, у пох-а очень много правды сказано (если не все правда). Хотя, конечно же, Баба Яга может быть против ;)

     

  • 1.28, Аноним (-), 13:47, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Атака сводится к отправке сообщения SSH2_MSG_USERAUTH_SUCCESS

    Ух ты, а что, так можно было?! Ну нифига, оказывается достаточно было соврать что авторизован - и дело в шляпе! :D

     
  • 1.32, Аноним (31), 08:06, 19/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот вам простенькая транскрипция ping-pong обмена по TLS: https://tls.ulfheim.net/
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру