CVE-2007-2768
LowSummary
OpenSSH, przy użyciu OPIE (Jednorazowe Hasła w Wszystkim) dla PAM, umożliwia zdalnym atakującym ustalenie istnienia określonych kont użytkowników. Odpowiedź jest różna w zależności od tego, czy konto użytkownika istnieje i jest skonfigurowane do używania jednorazowych haseł (OTP).
Risk Assessment
Atakujący mogą wykorzystać tę podatność do enumeracji kont użytkowników, co może prowadzić do dalszych ataków na system. Umożliwia to potencjalne naruszenie bezpieczeństwa organizacji.
Recommendation
Zaleca się zaktualizowanie OpenSSH do najnowszej wersji oraz rozważenie zastosowania dodatkowych środków zabezpieczających, aby zminimalizować ryzyko ujawnienia informacji o kontach użytkowników.
Original NVD description (English source)
OpenSSH, when using OPIE (One-Time Passwords in Everything) for PAM, allows remote attackers to determine the existence of certain user accounts, which displays a different response if the user account exists and is configured to use one-time passwords (OTP), a similar issue to CVE-2007-2243.

