CERT-FR avertit sur la présence d'une vulnérabilité critique dans libssh. libssh est une implémentation de Secure Shell indépendante de OpenSSH.

La vulnérabilité était là bien au chaud depuis quatre ans, et elle est bien énorme, à lire l'avis de sécurité CVE-2018-10933, de CERT-FR.

La bibliothèque libssh, version 06 et supérieures, contient une vulnérabilité permettant de passer outre l'authentification dans le code côté serveur. En présentant au serveur un message SSH2_MSG_USERAUTH_SUCCESS (qui signifie authentification terminée avec succès)  au lieu de SSH2_MSG_USERAUTH_REQUEST que le serveur attend pour démarrer le processus d'authentification, il est possible d'établir une connexion sans aucune authentification.

C'est tellement gros qu'on dirait un moyen de contournement d'authentification volontairement mis en place pour accélérer les essais pendant la phase de développement, mais que l'on a oublié de retirer ensuite, avant de passer en production :-)

Un correctif a été publié. Si vous utilisez libssh, il convient d'appliquer le correctif immédiatement.

GitHub, qui utilise abonnement libssh, assure ne pas être touché par cette vulnérabilité. Github précise en effet utiliser une version customisée de libssh qui ne contient pas la vulnérabilité.