このopenssh用の更新プログラムでは、次の問題が修正されています：

CVE-2018-15919：OpenSSHのauth-gss2.cのリモートで観測可能な動作をリモート攻撃者が利用して、GSS2の使用中にターゲットシステム上のユーザーの存在を検出する可能性があります。OpenSSHの開発者は、このようなユーザー名列挙（または「oracle」）を脆弱性として処理しません。
（bsc#1106163）

CVE-2018-15473：auth2-gss.c、auth2-hostbased.c、auth2-pubkey.cに関連して、OpenSSHは、無効な認証ユーザーに対する救済を、リクエストが含まれるパケットが完全に解析されるまで遅延することをしないため、ユーザー存在Oracleの脆弱性が発生しやすい傾向がありました。（bsc#1105010）

更新パッケージには、セキュリティ関連以外の修正も含まれています。詳細については、アドバイザリを参照してください。

注意：Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

検出

SUSE SLED15 / SLES15セキュリティ更新プログラム：openssh（SUSE-SU-2018:3686-1）

medium Nessus プラグイン ID 120162

バージョン 1.6