Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
OpenSSH
(3.9)
OpenSSH Server
(3.9)
Описание
Уязвимость в OpenSSH (при использовании функции AllowTcpForwarding) позволяет злоумышленникам, прошедшим аутентификацию, провести атаку с подменой портов. Эксплуатация данной уязвимости позволяет злоумышленникам воспользоваться SSH для доступа к анонимной службе (AnonCVS) и перенаправить соединения на произвольный порт.
Как исправить
Обновление не выпущено. Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.openssh.com/
В качестве временного решения рекомендуется отключить опцию AllowTcpForwarding.
http://www.openssh.com/
В качестве временного решения рекомендуется отключить опцию AllowTcpForwarding.
Ссылки
BUGTRAQ (20040831 SSHD / AnonCVS Nastyness): http://marc.theaimsgroup.com/?l=bugtraq&m=109413637313484&w=2
MISC (http://www.securitytracker.com/alerts/2004/Sep/1011143.html): http://www.securitytracker.com/alerts/2004/Sep/1011143.html
XF (openssh-port-bounce(17213)): http://xforce.iss.net/xforce/xfdb/17213
BUGTRAQ (20040831 SSHD / AnonCVS Nastyness): http://marc.theaimsgroup.com/?l=bugtraq&m=109413637313484&w=2
SECTRACK (1011143): http://securitytracker.com/id?1011143
OSVDB (9562): http://www.osvdb.org/9562
MISC (http://www.securitytracker.com/alerts/2004/Sep/1011143.html): http://www.securitytracker.com/alerts/2004/Sep/1011143.html
XF (openssh-port-bounce(17213)): http://xforce.iss.net/xforce/xfdb/17213
BUGTRAQ (20040831 SSHD / AnonCVS Nastyness): http://marc.theaimsgroup.com/?l=bugtraq&m=109413637313484&w=2
SECTRACK (1011143): http://securitytracker.com/id?1011143
OSVDB (9562): http://www.osvdb.org/9562