One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8391646 |
| Date de publication | 2023-10-04 21:15:10 (vue: 2023-10-04 23:07:09) |
| Titre | CVE-2023-43809 |
| Texte | Soft Serve est un serveur GIT auto-hébercable pour la ligne de commande.Avant la version 0.6.2, une vulnérabilité de sécurité dans Soft Service pourrait permettre à un attaquant distant non authentifié de contourner l'authentification de la clé publique lorsque l'authentification SSH interactive au clavier est active, via le paramètre «Autor-Keyless», et la clé publique nécessite un client supplémentaire- Vérification de la place par exemple en utilisant FIDO2 ou GPG.Cela est dû aux procédures de validation insuffisantes de l'étape de clé publique pendant la demande de main de demande SSH, accordant un accès non autorisé si le mode d'interaction du clavier est utilisé.Un attaquant pourrait exploiter cette vulnérabilité en présentant des demandes SSH manipulées en utilisant le mode d'authentification interactif du clavier.Cela pourrait potentiellement entraîner un accès non autorisé au service doux.Les utilisateurs doivent passer à la dernière version Soft Serve `V0.6.2` pour recevoir le correctif pour ce problème.Pour contourner cette vulnérabilité sans mise à niveau, les utilisateurs peuvent temporairement désactiver l'authentification SSH du clavier-interactif à l'aide du paramètre `perte-keyless».
Soft Serve is a self-hostable Git server for the command line. Prior to version 0.6.2, a security vulnerability in Soft Serve could allow an unauthenticated, remote attacker to bypass public key authentication when keyboard-interactive SSH authentication is active, through the `allow-keyless` setting, and the public key requires additional client-side verification for example using FIDO2 or GPG. This is due to insufficient validation procedures of the public key step during SSH request handshake, granting unauthorized access if the keyboard-interaction mode is utilized. An attacker could exploit this vulnerability by presenting manipulated SSH requests using keyboard-interactive authentication mode. This could potentially result in unauthorized access to the Soft Serve. Users should upgrade to the latest Soft Serve version `v0.6.2` to receive the patch for this issue. To workaround this vulnerability without upgrading, users can temporarily disable Keyboard-Interactive SSH Authentication using the `allow-keyless` setting. |
| Envoyé | Oui |
| Condensat | 2023 43809 `allow `v0 access active additional allow attacker authentication bypass can client command could cve disable due during example exploit fido2 git gpg granting handshake hostable insufficient interaction interactive issue key keyboard keyless` latest line manipulated mode patch potentially presenting prior procedures public receive remote request requests requires result security self serve server setting should side soft ssh step temporarily through unauthenticated unauthorized upgrade upgrading users using utilized validation verification version vulnerability when without workaround |
| Tags | Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.