阿里云漏洞库

中危 libssh up to 0.5.1 kex.c ssh_packet_kexinit 拒绝服务漏洞

CVE编号

CVE-2014-8132

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-12-29

漏洞描述

libssh是一个用以访问SSH服务的C语言开发包，通过它可以执行远程命令、文件传输，同时为远程的程序提供安全的传输通道。

libssh存在双重释放漏洞，允许远程攻击者利用漏洞通过精心编制的kexinit数据包发起拒绝服务攻击。

解决建议

目前厂商已经发布升级补丁/版本以修复这个安全问题，请用户及时下载更新：
http://www.libssh.org/2014/12/19/libssh-0-6-4-security-and-bugfix-release/

参考链接
http://advisories.mageia.org/MGASA-2015-0014.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-January/147367.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-January/147452.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-January/147464.html
http://lists.opensuse.org/opensuse-updates/2015-01/msg00007.html
http://secunia.com/advisories/60838
http://www.debian.org/security/2016/dsa-3488
http://www.libssh.org/2014/12/19/libssh-0-6-4-security-and-bugfix-release/
http://www.mandriva.com/security/advisories?name=MDVSA-2015:020
http://www.ubuntu.com/usn/USN-2478-1
https://bugzilla.redhat.com/show_bug.cgi?id=1158089
https://security.gentoo.org/glsa/201606-12

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	libssh	libssh	0.5.0	-
	运行在以下环境
	应用	libssh	libssh	0.5.2	-
	运行在以下环境
	应用	libssh	libssh	0.5.3	-
	运行在以下环境
	应用	libssh	libssh	0.5.4	-
	运行在以下环境
	应用	libssh	libssh	0.5.5	-
	运行在以下环境
	应用	libssh	libssh	0.6.0	-
	运行在以下环境
	应用	libssh	libssh	0.6.1	-
	运行在以下环境
	应用	libssh	libssh	0.6.2	-
	运行在以下环境
	应用	libssh	libssh	0.6.3	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0.6.3-4
	运行在以下环境
	系统	debian_10	libssh	*		Up to (excluding) 0.6.3-4
	运行在以下环境
	系统	debian_11	libssh	*		Up to (excluding) 0.6.3-4
	运行在以下环境
	系统	debian_12	libssh	*		Up to (excluding) 0.6.3-4
	运行在以下环境
	系统	debian_7	libssh	*		Up to (excluding) 0.5.4-1+deb7u3
	运行在以下环境
	系统	fedora_21	libssh-devel	*		Up to (excluding) 0.6.4-1.fc21
	运行在以下环境
	系统	fedora_EPEL_5	libssh-devel	*		Up to (excluding) 0.5.5-3.el5
	运行在以下环境
	系统	fedora_EPEL_6	libssh-devel	*		Up to (excluding) 0.5.5-3.el6
	运行在以下环境
	系统	fedora_EPEL_7	libssh-devel	*		Up to (excluding) 0.6.4-1.el7
	运行在以下环境
	系统	suse_12	libssh4	*		Up to (excluding) 0.6.3-8
	运行在以下环境
	系统	ubuntu_12.04.5_lts	libssh	*		Up to (excluding) 0.5.2-1ubuntu0.12.04.4
	运行在以下环境
	系统	ubuntu_14.04	libssh	*		Up to (excluding) 0.6.1-0ubuntu3.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	libssh	*		Up to (excluding) 0.6.1-0ubuntu3.1

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

N/A
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-Other