Nota: A libssh é um projeto sem relação com o Openssh do projeto OpenBSD, nossa velha e conhecida ferramenta de acessos remotos. Os detalhes desta postagem só se aplicam a quem tem uma aplicação/serviço que use tal biblioteca.

Este é um lançamento de versão importante e endereça o CVE-2018-10933.

As versões 0.6 e superiores da libssh possuem uma falha que permite ignorar a autenticação em um servidor. Ao apresentar uma mensagem SSH2_MSG_USERAUTH_SUCCESS diretamente ao invés da mensagem SSH2_MSG_USERAUTH_REQUEST, um atacante consegue autenticar sem a necessidade de saber as credenciais. O bug foi descoberto por Peter Winter-Smith do Grupo NCC.

De acordo com o perfil de segurança do GitHub, o site não é afetado por conta da forma como esta biblioteca é utilizada em seus servidores. Eles possuem uma biblioteca de autenticação customizada e não dependente da libssh.

Fonte: libssh 0.8.4 and 0.7.6 security and bugfix release