English

◀◁ 뒤로 취약점ID 14206 위험도 40 포트 22 프로토콜 TCP 분류 SSH 상세설명 해당 호스트에는 7.3 이전의 OpenSSH의 어떤 버전이 가동 중인 것으로 나타난다. OpenSSH은 Secure Shell (SSH) 프로토콜의 공개 소스 클라이언트 및 서버 구현이다. OpenSSH 7.3 이전의 버전은 다음의 다중 취약점이 존재한다. - 사용자 인증 시 존재하는 사용자 인증의 응답 시간보다 매우 긴 패스워드와 함께 존재하지 않는 사용자 인증의 응답시간이 짧다. 이로 인해 공격자는 존재하는 사용자를 유추할 수 있다. (CVE-2016-6210) - auth-passwd.c 파일의 auth_password() 함수에 매우 긴 패스워드를 적절하게 처리하지 못하여 서비스 거부가 발생하는 오류가 존재한다. 이로 인해 공격자는 매우 긴 문자열 패스워드를 통해 CPU를 과도하게 사용하게 하여 서비스 거부를 일으킬 수 있다. (CVE-2016-6515) * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 SSH 서버의 배너 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.openssh.com/txt/release-7.3 * 영향을 받는 플랫폼: OpenSSH 버전 7.3 이전의 버전들 모든 운영체제 모든 버전 해결책 OpenSSH의 웹 사이트인 http://www.openssh.org/ 에서 구할 수 있는 OpenSSH의 가장 최신 버전(7.3 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2016-6210,CVE-2016-6515 (CVE) 관련 URL 92212 (SecurityFocus) 관련 URL (ISS)