Уязвимость CVE-2016-6210: Информация
Описание
sshd in OpenSSH before 7.3, when SHA256 or SHA512 are used for user password hashing, uses BLOWFISH hashing on a static password when the username does not exist, which allows remote attackers to enumerate users by leveraging the timing difference between responses when a large password is provided.
Важность: MEDIUM (5,9) Вектор: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
---|---|---|---|---|---|---|
openssh | sisyphus | 7.2p1-alt1 | 9.6p1-alt1 | ALT-PU-2016-1200-1 | 160498 | Исправлено |
openssh | p10 | 7.2p1-alt1 | 7.9p1-alt4.p10.4 | ALT-PU-2016-1200-1 | 160498 | Исправлено |
openssh | p9 | 7.2p1-alt1 | 7.9p1-alt1 | ALT-PU-2016-1200-1 | 160498 | Исправлено |
openssh | p8 | 7.2p2-alt2 | 7.2p2-alt2.M80P.2 | ALT-PU-2016-2137-1 | 171162 | Исправлено |
openssh | c10f1 | 7.2p1-alt1 | 7.9p1-alt4.p10.4 | ALT-PU-2016-1200-1 | 160498 | Исправлено |
openssh | c9f2 | 7.2p1-alt1 | 7.9p1-alt4.p10.4 | ALT-PU-2016-1200-1 | 160498 | Исправлено |
openssh | c7 | 5.9p1-alt7.M70C.2 | 6.7p1-alt1.M70C.5 | ALT-PU-2016-2183-1 | 171159 | Исправлено |
Ссылки на рекомендации, решения и инструменты
Ссылка | Ресурс |
---|---|
https://www.openssh.com/txt/release-7.3 |
|
20160714 opensshd - user enumeration |
|
91812 |
|
GLSA-201612-18 | |
1036319 | |
40136 | |
40113 | |
DSA-3626 | |
RHSA-2017:2563 | |
RHSA-2017:2029 | |
https://security.netapp.com/advisory/ntap-20190206-0001/ | |
https://cert-portal.siemens.com/productcert/pdf/ssa-412672.pdf |