Проблема связана с компонентом auth2-gss.c, активированным по умолчанию в Fedora, CentOS, Red Hat Enterprise Linux и пр.
Не прошло и недели с выхода исправлений для уязвимости в OpenSSH, как исследователи безопасности обнаружили новую, очень на нее похожую. По словам специалистов компании Qualys, злоумышленник может путем подбора имен пользователей на сервере вычислить действительные. Уязвимость получила идентификатор CVE-2018-15919 и затрагивает все версии OpenSSH, выпущенные с сентября 2011 года.
Новая уязвимость была обнаружена точно так же, как и предыдущая – во время анализа исходного кода OpenBSD. Однако на этот раз проблема связана с компонентом auth2-gss.c, активированным по умолчанию в Fedora, CentOS, Red Hat Enterprise Linux и, возможно, в других дистрибутивах Linux.
Как пояснили исследователи, при попытке авторизоваться атакующий получает тот же самый пакет, независимо от того, является имя пользователя действительным или нет. Тем не менее, если пользователь действительный, появляется ошибка 'server_caused_failure', в противном случае ошибка не отображается.
Число попыток ввода имени пользователя ограничено до шести, после чего сервер отключает соединение с атакующим. После ввода действительного имени злоумышленник «может осуществлять попытки аутентификации через GSSAPI бесконечное число раз», сообщили исследователи, что в свою очередь открывает двери для брутфорс-атаки на пароль.
Разработчики OpenSSH не считают исправление данной уязвимости приоритетной задачей из-за ее низкой опасности. По их словам, уязвимость позволяет лишь «частично раскрыть нечувствительную информацию». С ее помощью атакующий может только попытаться определить, существует ли тот или иной пользователь, а ограниченное число попыток ввода логина существенно снижает его шансы на успех.
Ладно, не доказали. Но мы работаем над этим