来自Qualys公司的安全专家发现,OpenSSH仍然容易遭受Oracle×××。至少自2011年9月以来,它就受到CVE-2018-15919漏洞的影响。

就在几天前,来自securitum.pl的安全专家Darek Tytko公布了另一个存在于OpenSSH客户软件中的类似用户名枚举漏洞。这个被追踪为CVE-2018-15473的漏洞影响了自1999年以来发布的所有OpenSSH版本。远程×××者可以利用该漏洞猜测出在OpenSSH服务器上注册的用户名。由于OpenSSH与从云托管服务器到物联网设备的众多技术结合使用,因此受该漏洞影响的设备可能有数十亿台。

值得注意的是,由Qualys安全专家发现的这个新的用户名枚举漏洞影响到了最新版本的OpenSSH,这个漏洞目前已经追踪为CVE-2018-15919。

与CVE-2018-15473一样,Qualys的安全专家同样是在OpenBSD的OpenSSH源代码中发现了提交代码,在对提交代码进行了分析后发现了CVE-2018-15919。

国外安全社区Seclists.Org在它的安全通告中是这样描述CVE-2018-15919的:“这个漏洞会影响到从5.9(2011年9月6日)到最近发布的7.8(2018年8月24日)的所有OpenSSH版本。它与CVE-2018-15473非常相似(它不是时序×××),但它也明显不同(代码摘自OpenSSH 7.8p1)。”

这个漏洞存在于auth2-gss.c模块中,而对于许多Linux发行版(如CentOS、Fedora和Red Hat Enterprise Linux)来说,这个模块是默认启用的。当用户尝试进行身份验证时,×××者会收到相同的数据包,无论用户名是否有效。

  • 如果用户名无效,则不设置“server_caused_failure”,“failure”递增(在代码第412行),在max_authtries身份验证尝试一定次数(默认情况下为6次)之后,服务器将断开与×××者的连接(在代码第417行);

  • 如果用户名有效,则设置“server_caused_failure”,“failure”不会增加,×××者便可以无限制地尝试GSSAPI身份验证。这使得×××者可以猜测出SSH服务器上注册的有效用户名,进而实施蛮力×××或字典×××,破解密码。

根据Qualys安全专家的说法,OpenSSH的维护者并不认为这个用户名枚举漏洞的危险程序足以被评定为“Critical”。因此,他们没有在短时间内对其进行修复的计划。作为OpenSSH的开发人员之一,Damien Miller表示,用户名被认为是用户身份的非隐私部分,如果没有密码,即使是有效的用户名对于×××者来说也是无用的。

无论怎样,有关CVE-2018-15919漏洞的概念验证代码(PoC)已经发布,我们无法得知是否会有×××会对这个漏洞以及相关易受×××的服务器感兴趣。鉴于在短期内我们将不会有相应的安全补丁可用,采取禁用OpenSSH身份验证,使用其他方式来登录到远程设备或许会是一种还算不错的临时解决方案。