OpenSSH中的一个错误,最受基于UNIX的系统安全远程访问的最流行的软件,可能允许攻击者绕过身份验证重试限制并执行许多密码猜测。
使用在线别名Kingcope的安全研究员披露了这个问题上周在他的博客上,但他只要求周二分配公共漏洞ID。
openssh服务器在关闭连接之前允许六个身份验证重试,openssh客户端允许三个错误的密码条目,Kingcope表示。
但是,启用了具有键盘交互式身份验证的OpenSSH服务器,这是许多系统(包括FreeBSD)的默认设置,据研究人员表示,可以欺骗包含许多身份验证重试。
“通过此漏洞,攻击者能够请求当”登录宽限时间“设置限制的密码提示,默认情况下设置为两分钟,”Kincope表示。
根据服务器和连接,两分钟可以允许数千次重试,这可能足以猜测使用基于字典的攻击的常见或弱密码。
据A.关于Reddit的讨论,将PasswordAuthentication设置为OpenSSH配置中的“否”,并使用公钥身份验证不会阻止此攻击,因为键盘交互式身份验证是一个不同的子系统,也依赖于密码。
因此,用户应该将ChallengeSponseAuthentication和KbdinterActiveAhthentication设置为“否”。