原标题:OpenSSH连续被踢爆两个用户名称枚举漏洞
开源的加密通讯专案OpenSSH在最近接连被踢爆两个用户名称枚举(Username△Enumeration)漏洞,它们分别是CVE-2018-15473与CVE-2018-15919,虽然OpenSSH团队已经修补了前一个漏洞,但他们认为这并不是什么大不了的漏洞。
SSH为最市场上最受欢迎的远端存取协议,可用来执行远端登入及建立安全通道,而OpenSSH即为最普及的SSH应用软件。用户名称枚举漏洞将允许骇客输入各种用户名称,从系统的回应来判断用户名称的正确与否,接着再以暴力破解法找出相对应的密码,以取得用户凭证。
其中,CVE-2018-15473漏洞自1999年发表的OpenSSH版本就存在了,当骇客送出身份验证请求时,若所使用的用户名称并不存在,OpenSSH伺服器即会回复“验证失败”,反之,当确实有该用户名称时,OpenSSH伺服器就会直接关闭连线,这样的差异将有利于骇客判断于该伺服器上所注册的有效用户名称。
由于OpenSSH广泛被应用在许多云端代管伺服器上,也让资安社交担心该漏洞将影响数十亿的IoT装置。
波兰资安业者Securitum是在今年7月提报CVE-2018-15473,OpenSSH团队则已于7月底修补,但相关细节一直到8月下旬才被披露。
Qualys则在本周公布了另一个OpenSSH用户名称枚举漏洞CVE-2018-15919,它影响了2011年以来的OpenSSH版本,此一漏洞存在于auth2-gss.c元件中,且在Fedora、CentOS及Red△Hat△Enterprise△Linux等平台的预设都启用了该元件。
虽然这两个漏洞都被分配了漏洞编号,但OpenSSH团队认为它们并没有那么严重。OpenSSH开发者Damien△Miller指出,相关漏洞充其量只能算是“神谕”(Oracle)漏洞,而非枚举漏洞,因为它们并没有能力枚举或列出帐号名单,而只能用暴力破解法来猜测用户名称,再确认这些名称是否存在于系统上,此外,在Unix生态体系中,只有极少数的系统会特意避免这样的资讯揭露。
不过,Miller也说若他们知道相关漏洞的存在且修复成本不会太高时,仍会继续修补这类的漏洞。
iThome△Security
相关:
示意图,与新闻事件无关。 图片来源: Telegram 加密通讯软件Telegram周四更新隐私政策,未来如果当局能证明是恐怖分子,就会提供用户IP及电话号码给当局。主打用户隐私安全的Telegram不以用户资料展示广告,用户资
不久的将来Windows 10用户也许就能用Google帐号登入了
开发者在Chromium△Gerrit提交的“Google△Credential△Provider△for△Windows”。 图片来源: Chromium△Gerrit 一位开发人员Roger△Tawa近日在Chromium△Gerrit提交了名为“Google△Credential△Provider△for△
国家企业信用信息公示系统显示,2018年8月29日,支付宝(中国)信息技术有限公司法人发生变更,由马云变更为叶郁青。支付宝法人变更对支付宝用户有什么影响?一起来看看。支付宝法人变更 对此,蚂蚁金服对媒体问询做
现如今,个人信息安全成为大家关注的焦点,近些年,个人信息泄露问题日益严重。这不,华住酒店有5亿条开房数据泄露,引发关注!其中,数据涉及1.3亿条身份信息,卖家将这些数据打包出售。华住旗下酒店数据被盗 现在是
示意图,与新闻事件无关。 图片来源: Air△Canada 加拿大航空(Air△Canada)周四以电子邮件通知约2万名app用户,由于遭不明人士存取,用户个资可能外泄。用户在推特上展示收到的邮件显示,加拿大航空在今年8月22日