Katalog CVE

CVE-2007-2243

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenSSH w wersji 4.6 i wcześniejszych, przy włączonej opcji ChallengeResponseAuthentication, umożliwia zdalnym atakującym ustalenie istnienia kont użytkowników poprzez próbę uwierzytelnienia za pomocą S/KEY, co skutkuje różnymi odpowiedziami w zależności od istnienia konta.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do enumeracji kont użytkowników, co zwiększa ryzyko nieautoryzowanego dostępu do systemu.

Rekomendacja

Zaleca się wyłączenie opcji ChallengeResponseAuthentication lub aktualizację OpenSSH do nowszej wersji, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

OpenSSH 4.6 and earlier, when ChallengeResponseAuthentication is enabled, allows remote attackers to determine the existence of user accounts by attempting to authenticate via S/KEY, which displays a different response if the user account exists, a similar issue to CVE-2001-1483.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS