ดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งาน
 

 

libssh
libssh

 

     libssh ไลบรารีสำหรับพัฒนาแอพที่รองรับการเข้ารหัสการสื่อสารระหว่าง Client{--mlinkarticle--} กับ Server Hacker (แฮ็กเกอร์) สามารถลัดผ่านกระบวนการพิสูจน์ตัวตนกับเซิร์ฟเวอร์ได้ ให้บริการผ่าน  โปรโตคอล Secure Shell โดย libssh ก็เป็นไลบราลี่ที่ GitHub สามารถ clone ผ่าน SSH ได้ ประกาศช่องโหว่ CVE-2018-10933 ผู้ใช้สามารถล็อกอินได้สำเร็จทันที เพียงแค่ส่งแมสเสจ ‘SSH2_MSG-USERAUTH_SUCCESS’  แทนที่จะเป็นการขอเริ่มต้นการพิสูจน์ตัวตนอย่างที่เซิร์ฟเวอร์ที่ใช้งาน libssh ตั้งตารอคอย คือ การส่ง ‘SSH2_MSG_USERAUTH_REQUEST’  ตามปกติ ทำให้แฮ็กเกอร์ สามารถใช้ประโยชน์นี้ได้ ตัวเซิร์ฟเวอร์ก็จะปล่อยให้แฮ็กเกอร์เข้าถึงปลายทางได้ซึ่งแฮ็กเกอร์ไม่ต้องใส่รหัสผ่านเลย โดยช่องโหว่เกิดกับ libssh เวอร์ชัน 0.6.0 ที่ปล่อยออกมาในปี 2014  ช่องโหว่นี้ถูกค้นพบโดย NCC Group บริษัทรับตรวจสอบความปลอดภัย และแพตช์โดย Red Hat และทีมงาน libssh

     libssh  ไม่ได้เป็นที่นิยมมากนัก ยกเว้น GitHub ที่รองรับ libssh ทางทีมงานได้ออกมาประกาศแล้วว่าเวอร์ชันที่รองรับบน Repository เป็นเวอร์ชันดัดแปลงจึงไม่ได้รับผลกระทบ นอกจากนี้ช่องโหว่จะอยู่บนโค้ดฝั่งเซิร์ฟเวอร์ซึ่งฝั่ง Client ที่ใช้ libssh หรือถ้าผู้ใช้ไม่ได้เปิดใช้งาน SSH Server ที่ใช้ libssh ก็ไม่ได้รับผลกระทบ

 

อ้างอิงรูปภาพ : www.flickr.com

 

ข่าวสารเพิ่มเติมเกี่ยวกับ เทคโนโลยีใหม่ๆ