Libssh2, một thư viện mã nguồn mở phổ biến, vừa phát hành phiên bản mới nhất để vá tổng cộng chín lỗ hổng an ninh có thể dẫn đến chiếm quyền điều khiển từ xa.
Thư viện Libssh2 được tất cả các nhà phân phối lớn của hệ điều hành Linux sử dụng, bao gồm Ubuntu, Red Hat, Debian…
Tất cả lỗ hổng được vá trong libssh2 phiên bản 1.8.1 đều dẫn đến lỗi bộ nhớ, từ đó gây ra thực thi mã tùy ý trong một số trường hợp nhất định.
Một số lỗ hổng nghiêm trọng được vá trong Libssh:
Lỗi tràn số nguyên CVE-2019-3855, CVE-2019-3856, CVE-2019-3857: Khi người dùng kết nối đến máy chủ SSH độc hại (kẻ tấn công đã xâm nhập được vào), kẻ tấn công có thể gửi một gói tin đặc biệt dẫn đến thực thi mã độc trên máy người dùng.
Lỗi ghi dữ liệu ngoài vùng bộ nhớ (out-of-bounds write) CVE-2019-3858, CVE-2019-3859, CVE-2019-3860, CVE-2019-3862: Máy chủ SSH độc hại có thể gây ra lỗi DoS hoặc đọc được dữ liệu trên máy khách.
Các lỗ hổng này ảnh hưởng đến tất cả các phiên bản Libssh2 trước 1.8.1. Hiện chưa ghi nhận bất kỳ mã khai thác của các lỗ hổng này.
Nếu bạn đang sử dụng Libssh, hãy cài đặt bản cập nhật của Libssh càng sớm càng tốt. Với các phiên bản hệ điều hành Linux, người dùng nên nhanh chóng cập nhật hệ điều hành.
Đây không phải là lần đầu tiên thư viện phổ biến này được phát hiện tồn tại các vấn đề an ninh. Cuối năm ngoái, các nhà phát triển đã vá một lỗ hổng nghiêm trọng bốn năm tuổi trong Libssh, cho phép kẻ tấn công chiếm quyền kiểm soát máy chủ SSH mà không cần mật khẩu.
Theo The Hacker News
Bài hay nên đọc
Wellmess: Mã độc viết bằng Golang tấn công các máy tính sử dụng hệ điều hành Windows và Linux
BillCipher – Công cụ thu thập thông tin từ một Website hoặc một địa chỉ IP
NetSpectre – Kiểu tấn công Spectre mới từ xa, đánh cắp dữ liệu qua mạng
[CẢNH BÁO] Tiki.vn tồn tại lỗ hổng bảo mật, nguy cơ lộ thông tin người dùng [ĐÃ FIX]
Intel trả 100.000 USD tiền thưởng cho việc phát hiện hai lỗi bảo mật mới kiểu Spectre trên CPU
Views: 373