漏洞信息
# N/A
## 漏洞概述
在OpenSSH 7.3之前的版本中,当使用SHA256或SHA512进行用户密码哈希时,如果用户名不存在,sshd会使用BLOWFISH哈希来处理一个静态密码。这允许远程攻击者通过分析提供大密码时不同响应之间的延迟差异来枚举用户。
## 影响版本
- OpenSSH 7.3之前的版本
## 细节
当使用SHA256或SHA512进行用户密码哈希时,如果提供的用户名不存在,sshd会使用BLOWFISH哈希算法处理一个静态密码。这会导致在处理不存在的用户名时,响应时间与存在用户名时不同。远程攻击者可以通过检测这些延迟差异来确定用户名是否存在。
## 影响
远程攻击者可以利用这一特性通过提供大密码并分析响应时间来枚举系统中的用户。这可能导致用户账户的安全性受到威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
sshd in OpenSSH before 7.3, when SHA256 or SHA512 are used for user password hashing, uses BLOWFISH hashing on a static password when the username does not exist, which allows remote attackers to enumerate users by leveraging the timing difference between responses when a large password is provided.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OpenSSH 信息泄露漏洞
漏洞描述信息
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH 7.3之前版本中的sshd存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
CVSS信息
N/A
漏洞类别
信息泄露