Podatność CVE-2018-15473

Podatność CVE-2018-15473

Publikacja: 2018-08-17

Opis:

OpenSSH through 7.7 is prone to a user enumeration vulnerability due to not delaying bailout for an invalid authenticating user until after the packet containing the request has been fully parsed, related to auth2-gss.c, auth2-hostbased.c, and auth2-pubkey.c.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

	Tytuł	Autor	Data
Low	OpenSSH 7.7 - Username Enumeration	Justin Gardner	24.08.2018
Low	OpenSSH < 7.7 User Enumeration (2)	Leap Security	05.12.2018

Typ:

CWE-200

(Information Exposure)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS	Znaczenie	Łatwość wykorzystania
5/10	2.9/10	10/10

Wymagany dostęp	Złożoność ataku	Autoryzacja
Zdalny	Niska	Nie wymagana
Wpływ na poufność	Wpływ na integralność	Wpływ na dostępność
Częściowy	Brak	Brak

Affected software
Redhat -> Enterprise linux workstation
Redhat -> Enterprise linux desktop
Redhat -> Enterprise linux server
Openbsd -> Openssh
Netapp -> Aff baseboard management controller
Netapp -> Cloud backup
Netapp -> Data ontap edge
Netapp -> Fas baseboard management controller
Netapp -> Ontap select deploy
Netapp -> Service processor
Netapp -> Steelstore cloud integrated storage
Netapp -> Clustered data ontap
Netapp -> Cn1610 firmware
Netapp -> Data ontap
Debian -> Debian linux
Canonical -> Ubuntu linux

Referencje:

http://www.openwall.com/lists/oss-security/2018/08/15/5

http://www.securityfocus.com/bid/105140

http://www.securitytracker.com/id/1041487

https://access.redhat.com/errata/RHSA-2019:0711

https://access.redhat.com/errata/RHSA-2019:2143

https://bugs.debian.org/906236

https://github.com/openbsd/src/commit/779974d35b4859c07bc3cb8a12c74b43b0a7d1e0

https://lists.debian.org/debian-lts-announce/2018/08/msg00022.html

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2018-0011

https://security.gentoo.org/glsa/201810-03

https://security.netapp.com/advisory/ntap-20181101-0001/

https://usn.ubuntu.com/3809-1/

https://www.debian.org/security/2018/dsa-4280

https://www.exploit-db.com/exploits/45210/

https://www.exploit-db.com/exploits/45233/

https://www.exploit-db.com/exploits/45939/

Podatność CVE-2018-15473

OpenSSH through 7.7 is prone to a user enumeration vulnerability due to not delaying bailout for an invalid authenticating user until after the packet containing the request has been fully parsed, related to auth2-gss.c, auth2-hostbased.c, and auth2-pubkey.c.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

Low

OpenSSH 7.7 - Username Enumeration

Low

OpenSSH < 7.7 User Enumeration (2)

CWE-200

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:N/A:N)

5/10

2.9/10

10/10

Zdalny

Niska

Nie wymagana

Częściowy

Brak

Brak

Affected software

Referencje: