OpenSSH <7.0複数の脆弱性に関する質問

Question

Nessusはこれを重大と報告していますが、CVEが8.5であるという「CVE-2015-5600」などの問題がありますが、Red Hatは「低」問題と報告しています。 https://access.redhat.com/security/cve/CVE-2015-56 「低い」影響として報告します。さらに、なぜRedSがOpenSSHのほとんどの脆弱性の影響を受けないと言っているのか理解できません。例-> https://access.redhat.com/security/cve/CVE-2016-1907 これはRed Hat製品に影響を与えません...何が違うのですか？

Jakuje · Accepted Answer

CVE-2015-5600：MaxAuthTriesは、KbdInteractiveDevicesの重複によるバイパスを制限します

デフォルトではオプションChallengeResponseAuthenticationがデフォルト設定で無効になっているため、この脆弱性によるRHELへの影響はほとんどありません。 RHEL 6と7では修正されていますが、修正される予定です。

CVE-2016-1907：openssh：パケット処理コードで範囲外の読み取り

バグはopenssh-6.8で導入されたため、これはRHELシステムには影響しません（RHEL 7はopenssh-6.6.1p1で出荷されます）関連するバグへのコメント。

他の脆弱性も同様に説明できます（通常、バグが最近導入されたため）。 OpenSSHは非常に安全であり、すべてのレベルのセキュリティを突破するには多くの努力が必要です。

_{免責事項：私はRed Hatで働いています。}