安全公告/【CVE-2023-2283】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:libssh
CVSS评分:6.5
发现日期:2024-08-14
修复日期:2024-09-11
修复版本:libssh-0.9.6-7.01

漏洞描述

在libssh中发现了一个漏洞,在内存分配问题中,可以在`pki_verify_data_signature`函数中绕过连接客户端的身份验证检查。如果内存不足或内存使用受限,则可能会出现此问题。该问题是由返回值“rc”引起的,它被初始化为SSH_ERROR,后来被重写以保存函数调用“pki_ke_check_hash_compatible”的返回值在这一点和加密验证之间,变量的值不会改变。因此,它们之间的任何错误都会调用“goto error”返回SSH_OK。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf update libssh

补丁

参考

https://access.redhat.com/security/cve/CVE-2023-2283;https://www.libssh.org/security/advisories/CVE-2023-2283.txt;https://bugzilla.redhat.com/show_bug.cgi?id=2189736;http://packetstormsecurity.com/files/172861/libssh-0.9.6-0.10.4-pki_verify_data_signature-Authorization-Bypass.html;https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/27PD44ALQTZXX7K6JAM3BXBUHYA6DFFN/;https://security.gentoo.org/glsa/202312-05;https://security.netapp.com/advisory/ntap-20240201-0005/;