ГлавнаяБаза уязвимостей БДУ → BDU:2018-01037
7.8высокая

BDU:2018-01037

Уязвимость средства криптографической защиты OpenSSH, связанная с различной реакцией сервера на запросы аутентификации, позволяющая нарушителю выявить существующие учетные записи пользователей
Опубликовано: 2018-08-29
Описание

Уязвимость средства криптографической защиты OpenSSH связана с различной реакцией сервера на запросы аутентификации при наличии и отсутствии соответствующих учетных записей. Эксплуатация уязвимости может позволить нарушителю выявить существующие записи пользователей путем отправки специально сформированных запросов аутентификации

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)OpenSSH (от 2.3 до 7.7)SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP (V2.6.0)Debian GNU/Linux (8)Sun ZFS Storage Appliance Kit (8.8.6)
Способ устранения

Для openssh:
Обновление программного обеспечения до 1:6.7p1-5+deb8u8 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета openssh) до 1:6.7p1-5+deb8u8 или более поздней версии

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html

Для Debian:
Обновление программного обеспечения (пакета openssh) до 1:6.7p1-5+deb8u8 или более поздней версии

Компенсирующие меры для SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP:
Следовать рекомендациям производителя:
https://www.siemens.com/cert/operational-guidelines-industrial-security
Использование приложений только из надежных источников

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.securitylab.ru/news/495248.phphttp://www.exploit-db.com/exploits/45210/https://www.exploit-db.com/exploits/45233https://www.exploit-db.com/exploits/45939https://blog.nviso.be/2018/08/21/openssh-user-enumeration-vulnerability-a-close-look/https://cert-portal.siemens.com/productcert/pdf/ssb-439005.pdfhttp://www.openwall.com/lists/oss-security/2018/08/15/5http://www.securityfocus.com/bid/105140
Проверьте безопасность своего сайта и почты → Полная проверка домена