Nessus informa que esto es Crítico, sin embargo, hay problemas como 'CVE-2015-5600' que CVE es 8.5, pero Red Hat lo informa como un problema 'Bajo'. enlace lo reporta como Impacto 'bajo'. Además, no entiendo por qué Red Hat dice que no está afectado por la mayoría de las vulnerabilidades de OpenSSH. ¿Alguna explicación? Por ejemplo - > enlace esto no afecta a los productos de Red Hat ... ¿Qué están haciendo de manera diferente?
Esta vulnerabilidad tiene un bajo impacto en RHEL, porque de forma predeterminada, la opción ChallengeResponseAuthentication está deshabilitada en la configuración predeterminada. Aunque es o será arreglado en RHEL 6 y 7.
Este no afecta a los sistemas RHEL, porque el error se introdujo en openssh-6.8 (RHEL 7 se envía openssh-6.6.1p1 ) como comente el error relacionado .
También se pueden explicar otras vulnerabilidades de manera similar (generalmente porque el error se introdujo recientemente). Openssh es bastante seguro y romper todos los niveles de seguridad requiere mucho esfuerzo.
Descargo de responsabilidad: trabajo para Red Hat.
Lea otras preguntas en las etiquetas vulnerability openssh cve vulnerability-scanners