{"id":2653,"date":"2018-10-17T09:18:56","date_gmt":"2018-10-17T07:18:56","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=2653"},"modified":"2018-10-18T07:04:04","modified_gmt":"2018-10-18T05:04:04","slug":"openssh-nicht-betroffen-cve-2018-10933-bypass-ssh-authentication-libssh","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/it-sicherheit\/openssh-nicht-betroffen-cve-2018-10933-bypass-ssh-authentication-libssh\/","title":{"rendered":"OpenSSH nicht betroffen: CVE-2018-10933 Bypass SSH Authentication &#8211; libssh"},"content":{"rendered":"<p>Eine k\u00fcrzlich entdeckte Schwachstelle in libssh erm\u00f6glicht es Angreifern, sich ohne Authentifizierung mit einem Server zu verbinden. Dazu muss im SSH-Protokoll nur\u00a0SSH2_MSG_USERAUTH_SUCCESS anstelle vom eigentlichen\u00a0SSH2_MSG_USERAUTH_REQUEST geschickt werden. Der Client sagt dem Server im Prinzip, dass er erfolgreich authentifiziert wurde und der Server akzeptiert es. Der Bug existiert seit libssh 0.6, d.h. seit Januar 2014.<\/p>\n<p>Es gab bzw. gibt immer noch viel Verwirrung dar\u00fcber, ob man sich nun einfach an jedem Open-SSH-Server ohne Zugangsdaten anmelden kann, wodurch praktisch das R\u00fcckgrat der meisten Linux-Server verwundbar w\u00e4re. Allerdings ist dies nicht der Fall:<\/p>\n<p><strong>OpenSSH ist nicht vom\u00a0CVE-2018-10933 der libssh betroffen: libssh ist eine eigenst\u00e4ndige SSH-Implementierung und wird von OpenSSH nicht verwendet.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine k\u00fcrzlich entdeckte Schwachstelle in libssh erm\u00f6glicht es Angreifern, sich ohne Authentifizierung mit einem Server zu verbinden. Dazu muss im SSH-Protokoll nur\u00a0SSH2_MSG_USERAUTH_SUCCESS anstelle vom eigentlichen\u00a0SSH2_MSG_USERAUTH_REQUEST geschickt werden. Der Client sagt dem Server im Prinzip, dass er erfolgreich authentifiziert wurde und der Server akzeptiert es. Der Bug existiert seit libssh 0.6, d.h. seit Januar 2014. Es &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/it-sicherheit\/openssh-nicht-betroffen-cve-2018-10933-bypass-ssh-authentication-libssh\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34],"tags":[198,199],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-2653","6":"format-standard","7":"category-it-sicherheit","8":"post_tag-libssh","9":"post_tag-openssh"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2653","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=2653"}],"version-history":[{"count":8,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2653\/revisions"}],"predecessor-version":[{"id":2661,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2653\/revisions\/2661"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=2653"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=2653"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=2653"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}