libssh2 重大漏洞 PoC 公開:自動部署同備份工具要查清依賴
Tech News

libssh2 重大漏洞 PoC 公開:自動部署同備份工具要查清依賴

圖片:via iThome — https://www.ithome.com.tw/news/177097
TechLab 編輯部(譯)·

官方已合併修補,正式新版暫時未出,風險喺連去 SSH server 嘅工具鏈。

PoC 公開,問題唔止係「有人放 code」

iThome 報道,匿名研究員以 bikini 帳號喺 GitHub 放出 Exploitarium,入面有一批漏洞研究同 PoC;iThome 引 Infosecurity Magazine 指,牽涉至少 30 個軟件產品同開源項目,作者仲聲稱發表前冇先通知維護者。呢種做法最麻煩嘅位,係 PoC 一公開,守方同攻方同時攞到方向。匿名人有幾出位唔值得花太多篇幅;較貼身嘅位係 libssh2 呢種底層 library 好多時藏喺工具入面,普通資產盤點未必一眼見到。另外要分清:Infosecurity 寫,bikini 放 PoC;但 CVE-2026-55200 嘅正式披露渠道係 VulnCheck,credit 落喺 Tristan Madani。兩條線混埋咗,就好易以為成個漏洞通報都係 GitHub repo 帶出。

libssh2 個漏洞實際係乜

libssh2 官方首頁講明,佢係 client-side C library,畀其他軟件加 SSH2 功能,亦支援 SFTP 同 SCP。今次 CVE-2026-55200 係 SSH packet 長度檢查出事:NVD 同 VulnCheck 都寫到 libssh2 1.11.1 同之前版本受影響,CVSS v4.0 分數係 9.2。上游喺 6 月 12 日合併 PR #2052,commit 97acf3d 加返長度上限檢查;不過截至 2026 年 7 月 6 日,libssh2 官方下載頁同 GitHub 最新 release 仍然停喺 2024 年 10 月出嘅 1.11.1。

攻擊面喺 client,唔好淨係望住 22 port

libssh2 屬於 client library,OpenSSH server 本身係另一套 code base。公司部 server 開住 22 port,單靠呢點唔代表中招;先要查邊啲工具會主動連去 SSH/SFTP server,同埋底層有冇用 libssh2。惡意或者已經失守嘅 SSH server,可以喺登入前送出有問題嘅 packet,觸發 client 端 memory corruption,後果可以由 crash 去到攻擊者喺受影響 process 入面行 code。PoC 公開亦唔等於每個 app 都即刻有穩定 RCE,實際可唔可以打得入,要睇 app 點連結 library、OS 保護同 allocator 行為。

最易漏係 SFTP、備份同開發工具

好多公司維運仍然靠 SSH 同 SFTP。網店同 agency 會用 SFTP 交檔、部署;內部備份 agent 會定時連去 NAS、供應商 server 或者雲端主機;有啲 Git GUI、用 libgit2 嘅工具同 PHP ssh2 extension 亦可能拉到 libssh2。最易漏係 vendor 包咗入去嘅靜態 library:你更新 OS package,未必補到 app 自己帶住嗰份。今次最實際嘅坑係你以為冇用嘅 library,可能喺另一個工具入面靜靜幫你連線;SSH 協議本身唔係突然變咗唔可信。

修補要睇來源,唔好淨係睇版本字串

第一步係列清楚邊度有 libssh2:server image、container image、desktop deployment tool、NAS/backup agent、PHP extension、Git GUI,同 vendor appliance 都要問。第二步睇來源:如果係 distro package,就跟 Debian、Ubuntu、Red Hat 或者供應商 advisory 升;如果係自己 build 或者第三方 app,要問供應商係咪已經拉咗 97acf3d 或者相應 backport。正式上游新版未出之前,唔好淨係盯住版本字串;有啲修補會用 backport,version 仍然似舊版。

短期先收窄連線

短期做法好實際:自動化任務只准連去可信 SSH/SFTP 連線目標,檢查 known_hosts 或者 host key pinning,停走唔再用嘅供應商連線,CI/CD deploy key 同備份憑證都順手睇返。暫時唔好用受影響工具連陌生或者新交接嘅 SFTP server;如果生意流程一定要用,就擺隔離環境跑,權限拆細,出事都唔好俾一個 client process 摸到成個內網。

跟住睇正式 release 同供應商 backport

接落嚟要睇兩樣:libssh2 幾時出正式安全 release,同主要 distro / vendor 點標示自己嘅 backport。iThome 報道講到 PoC 公開同未通報呢條線,呢點值得關注,不過維運上最急嘅動作好清楚:搵出環境入面有冇會連出 SSH/SFTP 嘅 libssh2 client。搵到就補,補唔到就先限連線範圍;呢件事唔使恐慌,但唔應該放到下個月先理。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook