សម្រាប់កំហុសឆ្គងដែលមានគ្រោះថ្នាក់រយៈពេលដល់ទៅ 4 ឆ្នាំត្រូវបានរកឃើញនៅក្នុង Secure Shell (SSH) implementation library ដែលត្រូវគេស្គាល់ថាជា Libssh ដែលអនុញ្ញាតឱ្យអ្នកណាក៏បានធ្វើការឆ្លងកាត់នូវការផ្ទៀងផ្ទាត់នៅលើ Server ដោយមិនចាំបាច់ទាមទារនូវលេខសម្ងាត់នោះទេ។
សម្រាប់កំហុសឆ្គងនេះគឺមានឈ្មោះហៅថា CVE-2018-10933 ហើយបញ្ហានេះកើតឡើងនៅលើ Version នៃ Libssh version 0.6 ដែលដាក់អោយដំណើរការនៅដើមឆ្នាំ ២០១៤ ដែលធ្វើអោយ Servers នៃសហគ្រាសជាច្រើនបើកទ្វារចំហរសម្រាប់ហេគឃ័រចូលទៅដំណើរការដែលមានរយៈពេលដល់ទៅ 4 ឆ្នាំហើយនោះ។
សម្រាប់កំហុសឆ្គងនេះគឺស្ថិតនៅក្នុងកូដ Error នៅក្នុង Libssh ។ តាមទីប្រឹក្សាផ្នែកសុវត្ថិភាពបញ្ចេញនៅថ្ងៃអង្គារនេះថា អ្នកវាយប្រហារត្រូវធ្វើគឺការផ្ញើនូវ “SSH2_MSG_USERAUTH_SUCCESS” message ទៅកាន់ Server ជាមួយនឹង SSH connection ដែលវាត្រូវគេរំពឹងថាជាសារ “SSH2_MSG_USERAUTH_REQUEST” message នោះ។ បើទោះបីជា GitHub ប្រើប្រាស់នូវ libssh វាមានការបញ្ជាក់ថា គេហទំព័រផ្លូវការ និងសហគ្រាសនៃ GitHub Enterprise របស់ខ្លួនមិនមានការឆ្លងទៅលើបញ្ហានេះនោះទេ។
សម្រាប់កំហុសឆ្គងសុវត្ថិភាពនេះត្រូវរកឃើញដោយលោក Peter Winter-Smith ចេញពីក្រុមហ៊ុន NCC Group ដែលធ្វើការឆ្លើយតបនូវបញ្ហានេះទៅកាន់ Libssh ៕
ប្រភព៖
https://thehackernews.com/2018/10/libssh-ssh-protocol-library.html
