libsshチームは10月16日(フランス時間)、「libssh 0.8.4 and 0.7.6 security and bugfix release - libssh」において、libsshの最新版となる「libssh 0.8.4」の公開を伝えた。これは脆弱性「CVE-2018-10933」を修正するためのリリースとされている。
libssh 0.6およびこれより後のバージョンのlibsshには脆弱性が存在しており、サーバ実装において認証バイパスが可能になる問題が存在するという。libsshを使っているプロダクトなどのアップデート実施が望まれる。
-
CVE-2018-10933: Authentication bypass in server code
libsshを利用しているプロダクトやソフトウェアに関してはSophosが「Serious SSH bug lets crooks log in just by asking nicely...|Naked Security」にわかりやすい説明を掲載している。
同社の説明によると、まず、最も広く使われているSSHの実装系であるOpenSSHにはこの問題は存在していないという。libsshとOpenSSHはまったく別物であり、今回の脆弱性の影響を受けないとされている。また、名前がよく似ているがlibssh2もlibsshとはまったくの別物であり、今回の脆弱性の影響は受けない。
libsshを使っている主要プロジェクトはMicrosoftのGitHubにホスティングされているものであり、cURLもlibsshを利用しているとされている。すでにlibsshの最新版で脆弱性が修正されていることから、最新版へアップデートするとともに、libsshを内蔵したプロダクトに関しては内容物も含めて修正された最新版へアップデートすることが推奨されている。
