OpenSSH连续被踢爆两个用户名称枚举漏洞

开源的加密通讯专案OpenSSH在最近接连被踢爆两个用户名称枚举（Username Enumeration）漏洞，它们分别是CVE-2018-15473与CVE-2018-15919，虽然OpenSSH团队已经修补了前一个漏洞，但他们认为这并不是什么大不了的漏洞。

SSH为最市场上最受欢迎的远端存取协定，可用来执行远端登入及建立安全通道，而OpenSSH即为最普及的SSH应用软件。用户名称枚举漏洞将允许骇客输入各种用户名称，从系统的回应来判断用户名称的正确与否，接着再以暴力破解法找出相对应的密码，以取得用户凭证。

其中，CVE-2018-15473漏洞自1999年发表的OpenSSH版本就存在了，当骇客送出身份验证请求时，若所使用的用户名称并不存在，OpenSSH服务器即会回复“验证失败”，反之，当确实有该用户名称时，OpenSSH服务器就会直接关闭连线，这样的差异将有利于骇客判断于该服务器上所注册的有效用户名称。

由于OpenSSH广泛被应用在许多云端代管服务器上，也让资安社群担心该漏洞将影响数十亿的IoT装置。

波兰资安业者Securitum是在今年7月提报CVE-2018-15473，OpenSSH团队则已于7月底修补，但相关细节一直到8月下旬才被披露。

Qualys则在本周公布了另一个OpenSSH用户名称枚举漏洞CVE-2018-15919，它影响了2011年以来的OpenSSH版本，此一漏洞存在于auth2-gss.c元件中，且在Fedora、CentOS及Red Hat Enterprise Linux等平台的预设都启用了该元件。

虽然这两个漏洞都被分配了漏洞编号，但OpenSSH团队认为它们并没有那么严重。OpenSSH开发者Damien Miller指出，相关漏洞充其量只能算是“神谕”（Oracle）漏洞，而非枚举漏洞，因为它们并没有能力枚举或列出账号名单，而只能用暴力破解法来猜测用户名称，再确认这些名称是否存在于系统上，此外，在Unix生态体系中，只有极少数的系统会特意避免这样的资讯揭露。

不过，Miller也说若他们知道相关漏洞的存在且修复成本不会太高时，仍会继续修补这类的漏洞。