Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
OpenSSH
(1.2, 1.2.1, 1.2.2, 1.2.27, 1.2.3, 2.1, 2.1.1, 2.2, 2.3, 2.5, 2.5.1, 2.5.2, 2.9, 2.9 p1, 2.9 p2, 2.9.9, 2.9.9 p2, 3.0, 3.0 p1, 3.0.1, 3.0.1 p1, 3.0.2, 3.0.2 p1, 3.1, 3.1 p1, 3.2, 3.2.2, 3.2.2 p1, 3.2.3 p1, 3.3, 3.3 p1, 3.4, 3.4 p1, 3.5, 3.5 p1, 3.6, 3.6.1, 3.6.1 p1, 3.6.1 p2, 3.7, 3.7.1, 3.7.1 p1, 3.7.1 p2, 3.8, 3.8.1, 3.8.1 p1, 3.9, 3.9.1, 3.9.1 p1, 4.0, 4.0 p1, 4.1, 4.1 p1, 4.2, 4.2 p1, 4.3, 4.3 p1, 4.4, 4.5, 4.6)
OpenSSH Server
(4.6)
Описание
OpenSSH, при условии, что он сконфигурирован с использованием опознавания с помощью S/KEY, недостаточно хорошо защищен от удаленного доступа к информации. Это связано с тем, что система S/KEY challenge/response используется для существующих учетных записей. Если злоумышленник, действующий удаленно, систематически пытается произвести авторизацию, используя список имен пользователей, он может определить, какие учетные записи действительно существуют, отслеживая ответы сервера.
Как исправить
Обновление не выпущено.
http://openssh.org/
http://openssh.org/
Ссылки
FULLDISC (20070421 OpenSSH - System Account Enumeration if S/Key is used): http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053906.html
FULLDISC (20070424 OpenSSH - System Account Enumeration if S/Key is used): http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053951.html
BID (23601): http://www.securityfocus.com/bid/23601
XF (openssh-challenge-information-disclosure(33794)): http://xforce.iss.net/xforce/xfdb/33794
OSVDB (34600): http://www.osvdb.org/34600
FULLDISC (20070424 OpenSSH - System Account Enumeration if S/Key is used): http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053951.html
BID (23601): http://www.securityfocus.com/bid/23601
XF (openssh-challenge-information-disclosure(33794)): http://xforce.iss.net/xforce/xfdb/33794
OSVDB (34600): http://www.osvdb.org/34600
