Информация по безопасности / 2016 / Информация о безопасности -- DSA-3626-1 openssh

Рекомендация Debian по безопасности

DSA-3626-1 openssh -- обновление безопасности

Дата сообщения:

24.07.2016

Затронутые пакеты:

openssh

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 831902.
В каталоге Mitre CVE: CVE-2016-6210.

Более подробная информация:

Эдди Харари сообщил, что SSH-служба OpenSSH позволяет получить список пользователей через разницу в таймингах при попытке аутентификации пользователей. Когда sshd пытается аутентифицировать несуществующего пользователя, то происходит выбор фиксированной фальшивой парольной структуры с хешем на основе алгоритма Blowfish. В то время как для настоящих пользователей используется SHA256/SHA512, поэтому удалённый злоумышленник может использовать эту уязвимость путём отправки длинных паролей и получая ответы от сервера для несуществующих пользователей за короткое время.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1:6.7p1-5+deb8u3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:7.2p2-6.

Рекомендуется обновить пакеты openssh.