安華聯網科技 | 滲透測試服務 Penetration Testing, Onward Security is a leader in product security assessment and penetration testing solution provider

新聞中心

SecFlow漏洞通報

發布日期 2018 年 10 月 19 日
Good Day!  
這是根據 Onward Security 漏洞通報系統 SecFlow 帶來的訊息
 
網路上有資安研究人員發表新的安全漏洞
在 libssh 0.6 與之前的版本存在繞過身分認證機制的弱點
攻擊者可以發送 SSH2_MSG_USERAUTH_SUCCESS 訊息給伺服器
即可不需得知密碼的情況下,以合法使用者的帳號登入 SSH 服務
 
相關資訊請參閱以下連結:
https://thehackernews.com/2018/10/libssh-ssh-protocol-library.html
https://www.libssh.org/security/advisories/CVE-2018-10933.txt
 
針對這個弱點,安華聯網提供以下3點建議
(1) libssh 更新至0.84 或0.76 版本
(2) RHEL, Debian 等 Linux distribution 的管理者,請先啟用 iptables 限制
可存取 SSH服務的來源 IP 位址
(3) 將SSH服務的認證機制調整成 Public-key authentication
 
SecFlow 是安華聯網自行開發的安全產品,可以協助客戶追蹤新的安全漏洞並主動發出警訊
在產品開發過程也可以讓 PM&RD制訂安全的開發流程與確認所使用元件/函式庫的安全性
 
ps.圖片來源出自thehackernews網站