发布日期：2016-11-24
更新日期：2017-09-01

受影响系统：

OpenSSH OpenSSH < 7.3

描述：

---

BUGTRAQ  ID: 91812
CVE(CAN) ID: CVE-2016-6210

OpenSSH 是一组用于安全地访问远程计算机的连接工具。

OpenSSH < 7.3版本，若使用SHA256或SHA512进行用户密码哈希，用户名不存在时，sshd会对静态密码使用BLOWFISH哈希，导致远程攻击者利用较长密码响应时间差，确定用户名。

<*来源：Eddie Harari
  *>

建议：

---

厂商补丁：

OpenSSH
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.openssh.com/txt/release-7.3

浏览次数：2359
严重程度：0（网友投票）