2018-2293: OpenSSH: Zwei Schwachstellen ermöglichen das Ausspähen von Benutzernamen

Historie:

Version 1 (2018-11-09 11:15): Neues Advisory
Version 2 (2018-11-15 10:08): Für SUSE Linux Enterprise Server 11 SECURITY steht ein Sicherheitsupdate für 'openssh-openssl1' bereit, um die Schwachstellen zu beheben.
Version 3 (2018-11-19 11:29): Für openSUSE Leap 15.0, für SUSE Linux Enterprise Server und Debuginfo 11 SP4 sowie Server 12 SP1 LTSS und 12 LTSS stehen Sicherheitsupdate für 'openssh' bereit, durch welche diese Schwachstellen und drei weitere Fehler behoben werden.
Version 4 (2018-11-23 16:27): Für openSUSE Leap 15.0 wird der Fix für die Schwachstelle CVE-2018-15919 rückgängig gemacht, da es durch diesen zu Problemen beim Login mit GSSAPI-Authentisierung kommen konnte.
Version 5 (2019-04-29 15:41): Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein OpenSSH-Sicherheitsupdate auf Version '6.6p1-54.18.1' bereit, mit dem die referenzierten Schwachstellen und drei nicht sicherheitsrelevante Fehler behoben werden. Zeitgleich veröffentlicht SUSE außerdem ein Sicherheitsupdate mit dem auf die Version '6.6p1-54.26.1' aktualisiert wird (extra Meldung, SUSE-SU-2019:0125-2) und vier weitere Schwachstellen behoben werden.

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in OpenSSH ausnutzen, um gültige Benutzernamen auszuspähen.

Für die SUSE Linux Enterprise Module für Server Applications, Open Buildservice Development Tools, Desktop Applications und Basesystem 15 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2018-15473

Schwachstelle in OpenSSH ermöglicht Ausspähen von Benutzernamen

CVE-2018-15919