CVE-2018-10933 身份验证绕过漏洞验证
发布时间:2018-10-28 17:54,
浏览次数:422
, 标签:
CVE
0x00 事件背景
2018-10-16 libssh发布更新公告旨在解决CVE-2018-10933的问题
libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。
通过向服务端提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的
SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可以进行一些恶意操作。
0x01 漏洞原理
此处参考了360的文章