• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Разглашение информации

Главная Специалистам База уязвимостей Разглашение информации

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
OpenSSH (3.0, 3.0 p1, 3.0.1, 3.0.1 p1, 3.0.2, 3.0.2 p1, 3.1, 3.1 p1, 3.2, 3.2.2 p1, 3.2.3 p1, 3.3, 3.3 p1, 3.4, 3.4 p1, 3.5, 3.5 p1, 3.6, 3.6.1, 3.6.1 p1, 3.6.1 p2, 3.7, 3.7.1, 3.7.1 p2, 3.8, 3.8.1, 3.8.1 p1, 3.9, 3.9.1, 3.9.1 p1) OpenSSH Server (4.0)
Описание
SSH сохраняет имена хостов, IP-адреса и ключи в обычном текстовом формате в файле known_hosts, что облегчает злоумышленнику, который уже раскрыл данные учетной записи одного SSH-пользователя, задачу создания списка дополнительных целей, ключи и пароли которых с большей вероятностью будут совпадать.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.openssh.com/
Ссылки
MIT (Protecting SSH from known_hosts Address Harvesting): http://nms.csail.mit.edu/projects/ssh/
EWEEK (Researchers Reveal Holes in Grid): http://www.eweek.com/article2/0,1759,1815795,00.asp
SCO (SCOSA-2006.11): ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2006.11/SCOSA-2006.11.txt
REDHAT (RHSA-2007:0257): http://www.redhat.com/support/errata/RHSA-2007-0257.html