CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2007-2243

Low
Published: Translated: NVD NIST

Summary

OpenSSH w wersji 4.6 i wcześniejszych, przy włączonej opcji ChallengeResponseAuthentication, umożliwia zdalnym atakującym ustalenie istnienia kont użytkowników poprzez próbę uwierzytelnienia za pomocą S/KEY, co skutkuje różnymi odpowiedziami w zależności od istnienia konta.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do enumeracji kont użytkowników, co zwiększa ryzyko nieautoryzowanego dostępu do systemu.

Recommendation

Zaleca się wyłączenie opcji ChallengeResponseAuthentication lub aktualizację OpenSSH do nowszej wersji, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

OpenSSH 4.6 and earlier, when ChallengeResponseAuthentication is enabled, allows remote attackers to determine the existence of user accounts by attempting to authenticate via S/KEY, which displays a different response if the user account exists, a similar issue to CVE-2001-1483.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS