Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3626-1 openssh

Säkerhetsbulletin från Debian

DSA-3626-1 openssh -- säkerhetsuppdatering

Rapporterat den:

2016-07-24

Berörda paket:

openssh

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 831902.
I Mitres CVE-förteckning: CVE-2016-6210.

Ytterligare information:

Eddie Harari rapporterade att SSH-deamonen från OpenSSH tillåter användarnumrering genom att ta tid på skillnader när man försöker autentisera användare. När sshd försäker autentisera en icke-existerande användare, kommer den att plocka upp en konstant fejklösenordsstruktur med en hash baserad på Blowfish-algoritmen. Om riktiga användarlösenord hashas genom SHA256/SHA512 ås kan en fjärrangripare dra fördel av denna brist genom att skicka stora lösenord och få kortare svarstider från servern för icke-existerande användare.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1:6.7p1-5+deb8u3.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:7.2p2-6.

Vi rekommenderar att ni uppgraderar era openssh-paket.