web-dev-qa-db-ja.com

更新の確認時に一部のOpenSSH CVEパッチが更新されないのはなぜですか?

OpenSSH CVEから始めて、サーバーでいくつかのTrustwave PCIスキャンをパスするように取り組んでいます。

これが私が取り組んでいるものです:

root@Host [~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
root@Host [~]# cat /proc/version
Linux version 2.6.32-042stab116.2 ([email protected]) (gcc version 4                 .4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Jun 24 15:33:57 MSK 2016

特定のCVE問題に適切なパッチがインストールされていることを確認するために、変更ログを調べていました。次の問題が解決されていることを確認できました。

root@Host [~]# rpm -q --changelog openssh | grep 'CVE'

 - CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817)
 - CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048)
 -  CVE-2015-5352: XSECURITY restrictions bypass under certain conditions
 -  CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices
 -  CVE-2015-6563: Privilege separation weakness related to PAM support
 -  CVE-2015-6564: Use-after-free bug related to PAM support
 - prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653
 - ignore environment variables with embedded '=' or '\0' characters CVE-2014-2532
 - change default value of MaxStartups - CVE-2010-5107 - #908707
 - fixed audit log injection problem (CVE-2007-3102)
 - CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
 - CVE-2006-4924 - prevent DoS on deattack detector (#207957)
 - CVE-2006-5051 - don't call cleanups from signal handler (#208459)
 - use fork+exec instead of system in scp - CVE-2006-0225 (#168167)

ただし、スキャンの脆弱性として表示される次のCVEは、変更ログには表示されません。

CVE-2015-8325

CVE-2016-10009

CVE-2016-10012

CVE-2016-0777

CVE-2016-10010

CVE-2016-6515

このすべての後:

root@Host [~]# yum update

Loaded plugins: fastestmirror

Setting up Update Process

Loading mirror speeds from cached hostfile

 * base: mirrors.liquidweb.com

 * centosplus: centos.mirrors.my2pro.com

 * contrib: mirrors.tummy.com

 * epel: mirror.compevo.com

 * extras: repo1.sea.innoscale.net

 * fasttrack: mirror.scalabledns.com

 * updates: centos.mirror.lstn.net

No Packages marked for Update

すべてをバックポートする必要があるため、私がオンラインで読んでいることはすべて、OpenSSHを最新バージョンに更新しないでくださいと言っています。ただし、実行しているバージョンが適切なパッチで更新されていないようです。

これらのパッチを手動でインストールする必要がありますか、それとも最新バージョンのopensshをインストールしてみますか?

cveopenssh
2
choffm12

これらのパッチを手動でインストールする必要がありますか、それとも最新バージョンのopensshをインストールしてみますか?

それはあなたが達成しようとしていることに依存します。

あなたが知っているように、重要なCVEはすでに修正されたパッケージに含まれています。その他は、サポートされている構成で悪用できないか、影響が深刻でないため、そうでない可能性があります。これが、CVE番号に説明と影響がある理由です。周りを検索すると、RHEL6にバックポートされた、またはバックポートされなかった理由の説明が表示されます。

OpenSSHを現在のバージョンに更新することは意味のある場合がありますが、システムの他の部分との相互運用性が損なわれる可能性があり、場合によってはユーザーエクスペリエンスやセキュリティが低下する可能性があります。また、Red Hatからのバグ修正とセキュリティアップデートはもう取得されません。この場合、上流のリリースに従い、手動で更新し、Red Hat OpenSSHパッケージで使用されるパッチを追加して、同様のユーザーエクスペリエンスとセキュリティを取得する必要があります。

1
Jakuje