Après 4 ans d’existence discrète, une faille affectant libssh 0.8.4 et 0.7.6 vient d’être colmatée. Le problème n’affecte que les serveurs, ce qui provoque une certaine fébrilité dans les rangs de certains éditeurs. Cisco, mais également Red Hat, Suse, Canonical et consorts alertent leurs administrateurs et les poussent à boucher le trou CVE-2018-10933.
L’exploitation de la faille semble excessivement simple. Il suffit à un poste client d’envoyer un message de d’approbation d’authentification (SSH2_MSG_USERAUTH_SUCCESS) en lieu et place d’une demande (SSH2_MSG_USERAUTH_REQUEST). En d’autres termes, le requérant utilise un message que seul le serveur serait en droit d’émettre. Une « cuti-réaction » logicielle est disponible sur Github.
