นักวิจัยความปลอดภัยใช้ชื่อว่า KingCope รายงานช่องโหว่ของ OpenSSH ในส่วนการยืนยันตัวตนผู้ใช้ด้วยรหัสผ่านเมื่อเปิดออปชั่น KbdInteractiveDevices ขึ้นใช้งาน (บน FreeBSD เปิดเป็นค่าเริ่มต้น) จะทำให้แฮกเกอร์สามารถเดารหัสผ่านได้จนกว่าช่วงเวลาล็อกอินจะหมด

ค่าเริ่มต้นของช่วงเวลาล็อกอินคือ 2 นาทีทำให้แฮกเกอร์อาจจะเดารหัสผ่านได้ถึง 10,000 รหัสในการล็อกอินแต่ละครั้ง สูงกว่าการล็อกอินโดยทั่วไปที่มักล็อกให้ทดลองรหัสได้เพียงสามครั้งเท่านั้น

KingCope รายงานว่าช่องโหว่นี้ใช้งานได้กับ OpenSSH 6.2 บน FreeBSD 10.1 ยังไม่มีรายงานเพิ่มเติมว่ากระทบเวอร์ชั่นใดแล้วบ้าง

ช่องโหว่นี้ยังไม่มีแพตช์ออกมา ระหว่างนี้สำหรับคนที่มีเซิร์ฟเวอร์ FreeBSD อาจจะต้องตั้งรหัสให้หนาแน่นกว่าเดิมหรืออนุญาตให้ใช้กุญแจเข้ารหัสสำหรับการล็อกอินเท่านั้น

ผมทดสอบลินุกซ์หลายรุ่นพบว่าช่องโหว่นี้ใช้การไม่ได้ ผลกระทบก็น่าจะไม่กว้างนัก

ที่มา - ArsTechnica, KingCope