CVE-2018-10933
libssh를 사용하는 서버 상태 머신에서 취약점이 발견되었습니다. 클라이언트 측면의 악의적인 공격자가 인증 과정을 수행하지 않고 채널을 생성하여 인증되지 않은 접근을 수행할 수 있습니다.
Find out more about CVE-2018-10933 from the MITRE CVE dictionary dictionary and NIST NVD.
Statement
현재의 취약점은 Red Hat Enterprise Linux 7 Extras 채널에 탑재된 libssh를 사용하는 서버에 영향을 미칩니다. Red Hat Enterprise Linux 6 및 이전 버전에는 libssh 패키지가 포함되어 있지 않습니다. 현재의 취약점은 libssh2 또는 openssh에 영향을 미치지 않습니다.
본 문제는 libssh를 사용하여 SSH 서버를 구현하는 애플리케이션에만 영향을 미칠 수 있으며, 클라이언트 측면의 SSH 기능은 영향을 받지 않습니다. Red Hat 제품의 패키지는 libssh를 사용하여 SSH 서버를 구현하지 않으므로 libssh 라이브러리를 사용하는 Red Hat 패키지는 현재의 취약점의 영향을 받지 않습니다.
libssh 라이브러리는 고객 또는 타사 코드에서 사용할 수 있습니다. 이러한 코드가 libssh에 링크되어 있고 ssh_bind* 함수를 사용하고 있는 경우 현재의 취약점의 영향을 받을 수 있습니다.
CVSS v3 metrics
NOTE: The following CVSS v3 metrics and score provided are preliminary and subject to review.
| CVSS3 Base Score | 9.1 |
|---|---|
| CVSS3 Base Metrics | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Scope | Unchanged |
| Confidentiality | High |
| Integrity Impact | High |
| Availability Impact | None |
Affected Packages State
| Platform | Package | State |
|---|---|---|
| Red Hat Enterprise Linux 7 | libssh2 | 영향을 받지 않음 |
| Red Hat Enterprise Linux 7 | libssh | 영향을 받음 |
| Red Hat Enterprise Linux 6 | libssh2 | 영향을 받지 않음 |