On Mon, 1 Jul 2002, Lucia Mazzoni wrote:
Io ci ho trovato (direi di non averlo mai modificato):
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
Ho desunto che per default fosse abilitato e quindi l'ho settato
ChallengeResponseAuthentication no
su tutte le nostre macchine.
Non posso credere che tu non abbia visto una 7.1 standard... quindi mi
sono posta il problema.
Dunque. La Red Hat 7.1 include di default OpenSSH versione 2.5.2p2, e a
meno che tu non l'abbia aggiornata (spero di si') da un anno a questa
parte, comunque questa versione non e' vulnerabile al bug del
ChallengeResponseAuthentication (sono vulnerabili dalla 2.9.9 alla 3.3 per
questo bug, mentre dalla 2.3.1 alla 3.3 per il PAMAuthenticationViaKbdInt)
Probabilmente e' stato compilato in modo da non utilizzare di default la
ChallengeResponseAuthentication. Spero di esserti stato di aiuto.