OpenSSH プロジェクトによるレポート：

* sshd(8)：長いパスワードが送信され、特定のパスワードハッシュアルゴリズムがサーバーで使用中の際に、有効なアカウント名を無効なアカウント名と区別するために使用できるパスワード認証のタイミングの違いを緩和します。CVE-2016-6210、verint.com の EddieEzra.Harari による報告

* sshd(8)：（ポータブル専用）UseLogin=yes である際に PAM 環境変数を無視します。PAM がユーザー指定の環境変数を読み取るように構成されており、sshd_config で UseLogin=yes となっている場合は、敵意のあるローカルユーザーが LD_PRELOAD を通じて /bin/login を、または PAM を通じて類似の環境変数セットを攻撃する可能性があります。CVE-2015-8325、Shayan Sadigh 氏が発見。

検出

FreeBSD：openssh -- sshd -- リモートの有効なユーザー発見および PAM /bin/login 攻撃（adccefd1-7080-11e6-a2cb-c80aa9043978）

high Nessus プラグイン ID 93267

バージョン 2.6