漏洞标题
N/A
漏洞描述信息
在OpenSSH 5.7之前,sshd 中的auth_parse_options函数提供了包含授权密钥命令选项的调试消息,这使得远程授权的用户可以通过阅读这些消息来获得潜在的敏感信息,例如Gitolite所需的共享用户账户。注意:这可能会跨越权限边界,因为用户账户可能故意没有shell或文件系统访问权限,因此可能没有支持的方法在其自己的家目录中读取授权密钥文件。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The auth_parse_options function in auth-options.c in sshd in OpenSSH before 5.7 provides debug messages containing authorized_keys command options, which allows remote authenticated users to obtain potentially sensitive information by reading these messages, as demonstrated by the shared user account required by Gitolite. NOTE: this can cross privilege boundaries because a user account may intentionally have no shell or filesystem access, and therefore may have no supported way to read an authorized_keys file in its own home directory.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OpenSSH 信任管理问题漏洞
漏洞描述信息
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH 5.7之前版本的sshd的auth-options.c的auth_parse_options函数中存在信任管理问题漏洞,该漏洞源于其提供包含authorized_keys命令选项的调试信息。远程认证用户可利用该漏洞通过读取这些信息获取潜在的敏感信息。
CVSS信息
N/A
漏洞类别
信任管理问题