1、组件介绍

Libssh是一款用于在客户端和服务器端实现SSH协议连接的第三方多平台C语言库，提供了完整的SSH协议的实现，能够实现远程登录系统并进行会话及操作，同时避免造成信息泄露问题，此外还能提供对公钥的管理等扩展功能。

2、漏洞描述

近日，深信服安全团队监测到一则Libssh组件存在堆溢出漏洞的信息，漏洞编号：CVE-2021-3634，漏洞威胁等级：中危。

该漏洞是由于Libssh在密钥交换时，使用不同密钥交换机制重新生成的密钥所占的内存空间的管理存在问题，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行缓冲区溢出攻击，最终可实现内存的越界读写。

Libssh是较为流行的几种第三方SSH库之一。由于其跨平台性质及较好的兼容性，全球有大量服务器和开源项目采用Libssh实现SSH协议连接。可能受漏洞影响的资产广泛分布于世界各地。此次曝出的漏洞虽是中危，但涉及用户量较多，漏洞影响力较大。

目前受影响的Libssh版本：

0.9.1≤Libssh≤0.9.5

1、如何检测组件系统版本

Sudo apt show libssh-4