Уязвимость в OpenSSH позволяет определить списки пользователей системы

В популярной утилите OpenSSH, реализующий протокол SSH удалённого доступа, обнаружена уязвимость.

Исследователи научились формировать некорректный запрос к серверу таким образом, что код ошибки, который возвращает сервер, получается разным в зависимости от того, есть ли в системе пользователь с указанным логином.

Такого рода атаки называются атаками оракула (Oracle attack).

Это не первая уязвимость такого рода, найденная в OpenSSH. Проблема существует начиная с релиза 2.3, выпущенного ещё в 2000-м году.


Возврат к списку