Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-00117

Опубликовано: 21 июл. 2016
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Высокий

Описание

Уязвимость функции auth_password (auth-passwd.c) службы sshd средства криптографической защиты OpenSSH существует из-за недостаточного механизма обработки входных данных (отсутствие ограничения длины пароля для аутентификации). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании (расход вычислительных ресурсов) с использованием специально сформированной строки

Вендор

OpenBSD Project
Moxa Inc.
АО «ИВК»
АО «НТЦ ИТ РОСА»

Наименование ПО

OpenSSH
MOXA EDR-810
Альт 8 СП Сервер
Альт 8 СП Рабочая станция
РОСА Кобальт

Версия ПО

до 7.2 включительно (OpenSSH)
4.1 (MOXA EDR-810)
- (Альт 8 СП Сервер)
- (Альт 8 СП Рабочая станция)
до 6.7p1-alt1.M70C.1 (OpenSSH)
- (РОСА Кобальт)

Тип ПО

Программное средство защиты
ПО сетевого программно-аппаратного средства
Операционная система

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП Сервер -
АО «ИВК» Альт 8 СП Рабочая станция -
АО «НТЦ ИТ РОСА» РОСА Кобальт -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для MOXA:
https://www.moxa.com/en/support/product-support/security-advisory/edr-810-series-security-router-vulnerabilities-(1)
Для OpenSSH:
обновление программного средства до версий 7.3 или более новой.
Для Альт 8 СП Сервер и Альт 8 СП Рабочая станция:
https://cve.basealt.ru/otchet-po-obnovleniiam-ot-16112016.html
Для ОС РОСА КОБАЛЬТ:
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-03-18.001

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.75974
Высокий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-6515

CVSS3: 7.5
ubuntu
почти 9 лет назад

The auth_password function in auth-passwd.c in sshd in OpenSSH before 7.3 does not limit password lengths for password authentication, which allows remote attackers to cause a denial of service (crypt CPU consumption) via a long string.

redhat логотип

CVE-2016-6515

CVSS3: 5.3
redhat
почти 9 лет назад

The auth_password function in auth-passwd.c in sshd in OpenSSH before 7.3 does not limit password lengths for password authentication, which allows remote attackers to cause a denial of service (crypt CPU consumption) via a long string.

nvd логотип

CVE-2016-6515

CVSS3: 7.5
nvd
почти 9 лет назад

The auth_password function in auth-passwd.c in sshd in OpenSSH before 7.3 does not limit password lengths for password authentication, which allows remote attackers to cause a denial of service (crypt CPU consumption) via a long string.

debian логотип

CVE-2016-6515

CVSS3: 7.5
debian
почти 9 лет назад

The auth_password function in auth-passwd.c in sshd in OpenSSH before ...

github логотип

GHSA-vf2p-h3m7-ch75

CVSS3: 7.5
github
около 3 лет назад

The auth_password function in auth-passwd.c in sshd in OpenSSH before 7.3 does not limit password lengths for password authentication, which allows remote attackers to cause a denial of service (crypt CPU consumption) via a long string.

EPSS

Процентиль: 99%
0.75974
Высокий

7.5 High

CVSS3

7.8 High

CVSS2