Расширенный

Доступ к именам пользователей

Доступ к именам пользователей

19 июля 2012
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
OpenSSH (1.2, 1.2.1, 1.2.2, 1.2.27, 1.2.3, 2.1, 2.1.1, 2.2, 2.3, 2.5, 2.5.1, 2.5.2, 2.9, 2.9 p1, 2.9 p2, 2.9.9, 2.9.9 p2, 3.0, 3.0 p1, 3.0.1, 3.0.1 p1, 3.0.2, 3.0.2 p1, 3.1, 3.1 p1, 3.2, 3.2.2, 3.2.2 p1, 3.2.3 p1, 3.3, 3.3 p1, 3.4, 3.4 p1, 3.5, 3.5 p1, 3.6, 3.6.1, 3.6.1 p1, 3.6.1 p2, 3.7, 3.7.1, 3.7.1 p1, 3.7.1 p2, 3.8, 3.8.1, 3.8.1 p1, 3.9, 3.9.1, 3.9.1 p1, 4.0, 4.0 p1, 4.1, 4.1 p1, 4.2, 4.2 p1, 4.3, 4.3 p1, 4.4, 4.5, 4.6)
OpenSSH Server (4.6)
Описание
OpenSSH, при условии, что он сконфигурирован с использованием опознавания с помощью S/KEY, недостаточно хорошо защищен от удаленного доступа к информации. Это связано с тем, что система S/KEY challenge/response используется для существующих учетных записей. Если злоумышленник, действующий удаленно, систематически пытается произвести авторизацию, используя список имен пользователей, он может определить, какие учетные записи действительно существуют, отслеживая ответы сервера.
Как исправить
Обновление не выпущено.
http://openssh.org/
Ссылки
FULLDISC (20070421 OpenSSH - System Account Enumeration if S/Key is used): http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053906.html
FULLDISC (20070424 OpenSSH - System Account Enumeration if S/Key is used): http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053951.html
BID (23601): http://www.securityfocus.com/bid/23601
XF (openssh-challenge-information-disclosure(33794)): http://xforce.iss.net/xforce/xfdb/33794
OSVDB (34600): http://www.osvdb.org/34600