English

◀◁ 뒤로 취약점ID 14008 위험도 20 포트 22 프로토콜 TCP 분류 Ssh 상세설명 해당 SSH 서버의 버전은 AllowedAuthentications 설정 무시 취약점을 가지고 있다. Secure Shell은 SSH Communications 사에 의해 배포되고 관리되는 상용 SSH 구현으로 Unix, Linux, 그리고 마이크로소프트 윈도우 플랫폼들에 탑재될 수 있다. 3.0.0 이상 그리고 3.1.2 이전의 SSH 버전들에는 어떤 환경구성 아래에서, 원격지의 사용자들이 유효한 인증 메커니즘으로써 명시적으로 등록되지 않은 인증 메커니즘인 패스워드 방식의 인증을 허용한다. 이것은 사용자가 패스워드와 같은 취약한 인증 수단을 통해 인증 받을 수 있게 해 준다. 강력한 인증 프로토콜이 대체되고 시스템 사용자 계정들이 취약한 패스워드들로 보호되고 있다면 공격자는 강력한 인증 기법이 아닌 취약한 패스워드를 통해 시스템으로의 액세스를 얻을 수 있다. 즉, 공격자는 이 결함을 이용하여 사전 파일들을 이용한 Brute Force 공격을 시도할 수 있다. * 영향을 받는 플랫폼: Linux Any version Unix Any version 해결책 1. 임시 조치방법은 sshd2_config 파일에서 "AllowedAuthentications" 대신에 "RequiredAuthentications" 키워드를 사용하는 것이다: RequiredAuthentications hostbased, publickey 2. 이 문제가 해결된 SSH의 3.1.2 이상의 최신 버전으로 업그레이드 해야 한다. SSH Communications Security Upgrade ssh-3.1.2.tar.gz http://www.ssh.com/products/ssh/download.cfm 관련 URL CVE-2002-1646 (CVE) 관련 URL 4810 (SecurityFocus) 관련 URL 9163 (ISS)