Уязвимость функции kbdint_next_device() службы sshd средства криптографической защиты OpenSSH связана с недостатками разграничения доступа при обработке параметра oKbdInteractiveDevices, содержащего список методов для проверки подлинности с использованием интерактивной клавиатуры. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку методом «грубой силы» (brute force) или вызвать отказ в обслуживании
Использование рекомендаций:
Для OpenSSH обновить до версии 7.0 и выше:
https://www.openssh.com/releasenotes.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2015-5600
Для Fedora:
https://lists.fedoraproject.org/pipermail/package-announce/2015-August/165170.html
https://lists.fedoraproject.org/pipermail/package-announce/2015-July/162955.html
Для Junos OS:
https://supportportal.juniper.net/s/article/2015-10-Security-Bulletin-Junos-OpenSSH-brute-force-keyboard-interactive-MaxAuthTries-bypass-CVE-2015-5600?language=en_US
Для программных продуктов Apple Inc.:
https://support.apple.com/ru-ru/HT205031
Для Debian:
https://lists.debian.org/debian-lts-announce/2018/09/msg00010.html
Для Ubuntu:
https://ubuntu.com/security/notices/USN-2710-1
https://ubuntu.com/security/notices/USN-2710-2
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2016.html
https://www.oracle.com/security-alerts/cpujul2018.html
https://www.oracle.com/security-alerts/bulletinoct2015.html
https://www.oracle.com/security-alerts/linuxbulletinapr2016.html
https://www.oracle.com/security-alerts/linuxbulletinoct2015.html
https://www.oracle.com/security-alerts/ovmbulletinjul2016.html
Для Arista EOS:
https://www.arista.com/en/support/advisories-notices/security-advisory/1174-security-advisory-12
Для OpenBSD:
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/auth2-chall.c.diff?r1=1.42&r2=1.43&f=h
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/auth2-chall.c
Для продуктов Siemens:
https://cert-portal.siemens.com/productcert/html/ssa-412672.html
Организационные меры:
1) администраторам следует использовать пары ключей шифрования длиной не менее 2048 бит и сложные пароли для защиты закрытых ключей;
2) рекомендуется сократить время соединения с 30 до 20 секунд;
3) рекомендуется использовать ПО для ограничения количества попыток ввода неверного пароля.
Компания Siemens определила следующие конкретные обходные пути и меры по снижению риска, которые клиенты могут применить:
1) рекомендуется ограничить доступ к уязвимым системам, особенно к портам 22/tcp и 443/tcp;
2) следует деактивировать веб-сервер, если он не требуется (если деактивация поддерживается продуктом).
| Балл | 8.5 — высокая опасность |