Функция kbdint_next_device в auth2-chall.c в sshd в OpenSSH до версии 6.9 некорректно ограничивает обработку устройств keyboard-interactive в рамках одного соединения, что облегчает удаленным злоумышленникам проведение атак методом грубой силы или вызывает отказ в обслуживании (потребление ресурсов ЦП) через длинный и дублирующийся список в опции ssh -oKbdInteractiveDevices, что демонстрируется модифицированным клиентом, который предоставляет разные пароли для каждого pam элемента в этом списке.