CVE-2007-2768
NiskieStreszczenie
OpenSSH, przy użyciu OPIE (Jednorazowe Hasła w Wszystkim) dla PAM, umożliwia zdalnym atakującym ustalenie istnienia określonych kont użytkowników. Odpowiedź jest różna w zależności od tego, czy konto użytkownika istnieje i jest skonfigurowane do używania jednorazowych haseł (OTP).
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do enumeracji kont użytkowników, co może prowadzić do dalszych ataków na system. Umożliwia to potencjalne naruszenie bezpieczeństwa organizacji.
Rekomendacja
Zaleca się zaktualizowanie OpenSSH do najnowszej wersji oraz rozważenie zastosowania dodatkowych środków zabezpieczających, aby zminimalizować ryzyko ujawnienia informacji o kontach użytkowników.
Oryginalny opis (angielski, źródło NVD)
OpenSSH, when using OPIE (One-Time Passwords in Everything) for PAM, allows remote attackers to determine the existence of certain user accounts, which displays a different response if the user account exists and is configured to use one-time passwords (OTP), a similar issue to CVE-2007-2243.

