Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
OpenSSH
(1.2, 1.2.1, 1.2.2, 1.2.27, 1.2.3, 2.1, 2.1.1, 2.2, 2.3, 2.5, 2.5.1, 2.5.2, 2.9, 2.9 p1, 2.9 p2, 2.9.9, 2.9.9 p2, 3.0, 3.0 p1, 3.0.1, 3.0.1 p1, 3.0.2, 3.0.2 p1, 3.1, 3.1 p1, 3.2, 3.2.2, 3.2.2 p1, 3.2.3 p1, 3.3, 3.3 p1, 3.4, 3.4 p1, 3.5, 3.5 p1, 3.6, 3.6.1, 3.6.1 p1, 3.6.1 p2, 3.7, 3.7.1, 3.7.1 p1, 3.7.1 p2, 3.8, 3.8.1, 3.8.1 p1, 3.9, 3.9.1, 3.9.1 p1, 4.0, 4.0 p1, 4.1 p1, 4.2, 4.2 p1, 4.3, 4.3 p1)
OpenSSH Server
(4.4)
Описание
OpenSSH в конфигурации, использующей опознавание GSSAPI, недостаточно хорошо защищен от разглашения информации. Проблема возникает вследствие того, что программа опознавания GSSAPI отвечает по-разному, когда соединение протекает нормально, и когда соединение прерывается преждевременно. Это различие в ответе системы позволяет злоумышленнику установить существующие учетные записи.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.openssh.com/
http://www.openssh.com/
Ссылки
MLIST ([openssh-unix-dev] 20060927 Announce: OpenSSH 4.4 released): http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=115939141729160&w=2
REDHAT (RHSA-2006:0697): http://rhn.redhat.com/errata/RHSA-2006-0697.html
SLACKWARE (SSA:2006-272-02): http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.592566
BID (20245):
SECTRACK (1016939): http://securitytracker.com/id?1016939
BUGTRAQ (20061005 rPSA-2006-0185-1 gnome-ssh-askpass openssh openssh-client openssh-server): http://www.securityfocus.com/archive/1/archive/1/447861/100/200/threaded
https://issues.rpath.com/browse/RPL-681
SUSE (SUSE-SA:2006:062): http://www.novell.com/linux/security/advisories/2006_62_openssh.html
GENTOO (GLSA-200611-06): http://security.gentoo.org/glsa/glsa-200611-06.xml
XF (openssh-gssapi-user-enumeration(29255)): http://xforce.iss.net/xforce/xfdb/29255
http://docs.info.apple.com/article.html?artnum=305214
FRSIRT (ADV-2007-0930): http://www.frsirt.com/english/advisories/2007/0930
http://openssh.org/txt/release-4.4
OSVDB (29266): http://www.osvdb.org/29266
REDHAT (RHSA-2006:0697): http://rhn.redhat.com/errata/RHSA-2006-0697.html
SLACKWARE (SSA:2006-272-02): http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.592566
BID (20245):
SECTRACK (1016939): http://securitytracker.com/id?1016939
BUGTRAQ (20061005 rPSA-2006-0185-1 gnome-ssh-askpass openssh openssh-client openssh-server): http://www.securityfocus.com/archive/1/archive/1/447861/100/200/threaded
https://issues.rpath.com/browse/RPL-681
SUSE (SUSE-SA:2006:062): http://www.novell.com/linux/security/advisories/2006_62_openssh.html
GENTOO (GLSA-200611-06): http://security.gentoo.org/glsa/glsa-200611-06.xml
XF (openssh-gssapi-user-enumeration(29255)): http://xforce.iss.net/xforce/xfdb/29255
http://docs.info.apple.com/article.html?artnum=305214
FRSIRT (ADV-2007-0930): http://www.frsirt.com/english/advisories/2007/0930
http://openssh.org/txt/release-4.4
OSVDB (29266): http://www.osvdb.org/29266