CVE-2007-2243
LowSummary
OpenSSH w wersji 4.6 i wcześniejszych, przy włączonej opcji ChallengeResponseAuthentication, umożliwia zdalnym atakującym ustalenie istnienia kont użytkowników poprzez próbę uwierzytelnienia za pomocą S/KEY, co skutkuje różnymi odpowiedziami w zależności od istnienia konta.
Risk Assessment
Atakujący mogą wykorzystać tę podatność do enumeracji kont użytkowników, co zwiększa ryzyko nieautoryzowanego dostępu do systemu.
Recommendation
Zaleca się wyłączenie opcji ChallengeResponseAuthentication lub aktualizację OpenSSH do nowszej wersji, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
OpenSSH 4.6 and earlier, when ChallengeResponseAuthentication is enabled, allows remote attackers to determine the existence of user accounts by attempting to authenticate via S/KEY, which displays a different response if the user account exists, a similar issue to CVE-2001-1483.

