Nessus lo segnala come critico, tuttavia ci sono problemi come "CVE-2015-5600" che CVE è 8.5 ma Red Hat lo segnala come un problema "basso". link lo segnala come Impatto "basso". Ancora non capisco perché Red Hat dice che non è influenzato dalla maggior parte delle vulnerabilità di OpenSSH - qualche spiegazione? Ad esempio: > link questo non ha effetto sui prodotti Red Hat ... Cosa stanno facendo in modo diverso?
Questa vulnerabilità ha un basso impatto su RHEL, perché per impostazione predefinita l'opzione ChallengeResponseAuthentication è disabilitata nella configurazione predefinita. Sebbene sia o sarà corretto in RHEL 6 e 7.
Questo non influenza i sistemi RHEL, perché il bug è stato introdotto in openssh-6.8 (RHEL 7 navi openssh-6.6.1p1 ) come commento al bug correlato .
Anche altre vulnerabilità possono essere spiegate in modo simile (di solito perché il bug è stato introdotto di recente). Openssh è abbastanza sicuro e superare tutti i livelli di sicurezza richiede un grande sforzo.
Disclaimer: lavoro per Red Hat.
Leggi altre domande sui tag vulnerability openssh cve vulnerability-scanners