漏洞信息
# N/A
## 漏洞概述
远程攻击者可以利用OpenSSH的一个漏洞,通过猜测用户名和公钥组合是否为SSH服务器所知来验证这种猜测是否正确。这种挑战只有在该组合可能对登录会话有效时才会发送。
## 影响版本
OpenSSH 8.7及以下版本
## 细节
在尝试登录时,如果攻击者猜测的用户名和公钥组合可能有效,则服务器会发送一个挑战。攻击者可以通过这种方式来枚举可能存在的有效用户名和公钥组合。
## 影响
虽然攻击者能够验证用户名和公钥组合是否存在,但OpenSSH厂商不认为这是该产品的漏洞。不过,这种用户枚举功能仍可能给系统安全带来隐患。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
OpenSSH through 8.7 allows remote attackers, who have a suspicion that a certain combination of username and public key is known to an SSH server, to test whether this suspicion is correct. This occurs because a challenge is sent only when that combination could be valid for a login session. NOTE: the vendor does not recognize user enumeration as a vulnerability for this product
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OpenSSH 安全漏洞
漏洞描述信息
OpenSSH(OpenBSD Secure Shell)是Openbsd计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH 8.7之前版本存在安全漏洞,允许远程攻击者怀疑 SSH 服务器知道用户名和公钥的特定组合,以测试这种怀疑是否正确。 发生这种情况是因为仅当该组合对登录会话有效时才会发送质询。
CVSS信息
N/A
漏洞类别
其他