CVE-2019-6110
LowSummary
W OpenSSH 7.9, akceptowanie i wyświetlanie dowolnego wyjścia stderr z serwera umożliwia złośliwemu serwerowi (lub atakującemu typu Man-in-The-Middle) manipulowanie wyjściem klienta. Może to być wykorzystane do ukrywania dodatkowych plików przesyłanych podczas transferu.
Risk Assessment
Organizacja jest narażona na ataki, które mogą prowadzić do nieautoryzowanego dostępu do danych lub ich ukrywania. Złośliwy serwer może wprowadzać w błąd użytkowników, co do rzeczywistego stanu transferu plików.
Recommendation
Zaleca się aktualizację OpenSSH do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością. Należy również monitorować i weryfikować źródła serwerów, z którymi nawiązywane są połączenia.
Original NVD description (English source)
In OpenSSH 7.9, due to accepting and displaying arbitrary stderr output from the server, a malicious server (or Man-in-The-Middle attacker) can manipulate the client output, for example to use ANSI control codes to hide additional files being transferred.

