Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2016-02237

Опубликовано: 18 июл. 2016
Источник: fstec
CVSS3: 5.9
CVSS2: 4.3
EPSS Критический

Описание

Уязвимость сетевого протокола ssh связана ошибкой хэширования пароля пользователя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

ООО «РусБИТех-Астра»
OpenBSD Project
Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition
OpenSSH
Debian GNU/Linux

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
до 7.3 (OpenSSH)
9 (Debian GNU/Linux)
8.0 (Debian GNU/Linux)
10 (Debian GNU/Linux)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Apple Inc. Mac OS X
Apple Inc. Mac OS X
The SCO Group SCO Unix .
IBM Corp. AIX .
IBM Corp. AIX .
HP Inc. HP-UX .
HP Inc. HP-UX .
FreeBSD Project FreeBSD .
FreeBSD Project FreeBSD .
The NetBSD Project NetBSD .
OpenBSD Project OpenBSD .
Silicon Graphics Corp. IRIX .
Silicon Graphics Corp. IRIX .
The SCO Group SCO Unix .
Red Hat Inc. Cygwin .
Red Hat Inc. Cygwin .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenSSH:
Обновление программного обеспечения до 7.3 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета sshd) до 7.3 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета sshd) до 7.3 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.92487
Критический

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-6210

CVSS3: 5.9
ubuntu
больше 8 лет назад

sshd in OpenSSH before 7.3, when SHA256 or SHA512 are used for user password hashing, uses BLOWFISH hashing on a static password when the username does not exist, which allows remote attackers to enumerate users by leveraging the timing difference between responses when a large password is provided.

redhat логотип

CVE-2016-6210

CVSS3: 5.3
redhat
почти 9 лет назад

sshd in OpenSSH before 7.3, when SHA256 or SHA512 are used for user password hashing, uses BLOWFISH hashing on a static password when the username does not exist, which allows remote attackers to enumerate users by leveraging the timing difference between responses when a large password is provided.

nvd логотип

CVE-2016-6210

CVSS3: 5.9
nvd
больше 8 лет назад

sshd in OpenSSH before 7.3, when SHA256 or SHA512 are used for user password hashing, uses BLOWFISH hashing on a static password when the username does not exist, which allows remote attackers to enumerate users by leveraging the timing difference between responses when a large password is provided.

debian логотип

CVE-2016-6210

CVSS3: 5.9
debian
больше 8 лет назад

sshd in OpenSSH before 7.3, when SHA256 or SHA512 are used for user pa ...

github логотип

GHSA-f525-65h3-3qjh

CVSS3: 5.9
github
около 3 лет назад

sshd in OpenSSH before 7.3, when SHA256 or SHA512 are used for user password hashing, uses BLOWFISH hashing on a static password when the username does not exist, which allows remote attackers to enumerate users by leveraging the timing difference between responses when a large password is provided.

EPSS

Процентиль: 100%
0.92487
Критический

5.9 Medium

CVSS3

4.3 Medium

CVSS2