发布日期：2018-08-16
更新日期：2019-04-24

受影响系统：

OpenSSH OpenSSH <= 7.7

描述：

---

BUGTRAQ  ID: 105140
CVE(CAN) ID: CVE-2018-15473

OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。

OpenSSH 7.7及之前版本存在一个用户枚举漏洞，原因是在完全解析含有请求的报文之前不能推迟对无效验证用户的救助。此漏洞与auth2-gss.c、auth2-hostbased.c和auth2-pubkey相关。

<*来源：OpenSSH
  
  链接：https://bugzilla.redhat.com/show_bug.cgi?id=1619063
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（CVE-2018-15473）以及相应补丁:
CVE-2018-15473：openssh: User enumeration via malformed packets in authentication requests
链接：https://bugzilla.redhat.com/show_bug.cgi?id=1619063

浏览次数：5231
严重程度：0（网友投票）