Vulnérabilité d'énumération dans OpenSSH.

Vulnérabilité d’énumération dans OpenSSH.

Auteur/autrice de la publication :
Post published:29 août 2018
Post category:Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2018/AVIS/006

Date de l’alerte: 23/08/2018

TLP: White

Aperçu de la vulnérabilité

Une vulnérabilité d’énumération affecte toutes les versions d’OpenSSH depuis la version 2.3 jusqu’à la version 7.7.

Description

OpenSSH est le serveur open source le plus utilisé pour les communications ssh.

Un utilisateur distant peut déterminer des noms d’utilisateurs valides sur le système cible. Le système répond différemment aux tentatives d’authentification valides et non valides. Un utilisateur distant peut envoyer des requêtes spécialement conçues pour déterminer des noms d’utilisateur valides sur le système cible. En déterminant les noms d’utilisateurs valides, un attaquant peut alors effectuer une attaque par force brute pour déterminer les mots de passe.

Mesures à prendre

Mettre à jour les services SSH.

Liens utiles

https://nvd.nist.gov/vuln/detail/CVE-2018-15473

Partagez sur vos réseaux.