Perché alcune patch CVE di OpenSSH non vengono aggiornate durante il controllo degli aggiornamenti? [chiuso]

Question

Perché alcune patch CVE di OpenSSH non vengono aggiornate durante il controllo degli aggiornamenti? [chiuso]

#1 da (1 voti)

2

Sto lavorando per passare alcune scansioni PCI Trustwave sul mio server, iniziando con i CVE OpenSSH.

Ecco a cosa sto lavorando:

root@host [~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
root@host [~]# cat /proc/version
Linux version 2.6.32-042stab116.2 ([email protected]) (gcc version 4                 .4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Jun 24 15:33:57 MSK 2016

Ho passato il registro delle modifiche per confermare che alcuni problemi CVE hanno installato le patch appropriate. Sono stato in grado di confermare quanto segue:

root@host [~]# rpm -q --changelog openssh | grep 'CVE'

 - CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817)
 - CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048)
 -  CVE-2015-5352: XSECURITY restrictions bypass under certain conditions
 -  CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices
 -  CVE-2015-6563: Privilege separation weakness related to PAM support
 -  CVE-2015-6564: Use-after-free bug related to PAM support
 - prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653
 - ignore environment variables with embedded '=' or 'root@host [~]# yum update

Loaded plugins: fastestmirror

Setting up Update Process

Loading mirror speeds from cached hostfile

 * base: mirrors.liquidweb.com

 * centosplus: centos.mirrors.my2pro.com

 * contrib: mirrors.tummy.com

 * epel: mirror.compevo.com

 * extras: repo1.sea.innoscale.net

 * fasttrack: mirror.scalabledns.com

 * updates: centos.mirror.lstn.net

No Packages marked for Update
' characters CVE-2014-2532
 - change default value of MaxStartups - CVE-2010-5107 - #908707
 - fixed audit log injection problem (CVE-2007-3102)
 - CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
 - CVE-2006-4924 - prevent DoS on deattack detector (#207957)
 - CVE-2006-5051 - don't call cleanups from signal handler (#208459)
 - use fork+exec instead of system in scp - CVE-2006-0225 (#168167)

Tuttavia, i CVE seguenti, che vengono visualizzati come vulnerabilità nella scansione, non vengono visualizzati nel registro delle modifiche.

CVE-2015-8325

CVE-2.016-10.009

CVE-2.016-10.012

CVE-2016-0777

CVE-2.016-10.010

CVE-2016-6515

Tutto questo dopo:

root@host [~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
root@host [~]# cat /proc/version
Linux version 2.6.32-042stab116.2 ([email protected]) (gcc version 4                 .4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Jun 24 15:33:57 MSK 2016

Tutto quello che sto leggendo online sta dicendo NON aggiornare OpenSSH all'ultima versione, dal momento che tutto dovrebbe essere ripristinato. Tuttavia, mi sembra che la versione che sto utilizzando non venga aggiornata con le patch appropriate.

Devo installare manualmente queste patch, o dovrei semplicemente provare a installare l'ultima versione di openssh?

openssh cve

posta choffm12 20.03.2017 - 05:19

fonte

1 risposta

Leggi altre domande sui tag openssh cve

Nei giorni dei firewall stateless, c'era qualche ragione per usare il firewall al posto del router? Un client VPN può installare un certificato radice CA da utilizzare nel browser web?

score 1 · Answer 1

Should I be manually installing these patches, or should I just try installing the latest version of openssh?

Dipende da cosa stai cercando di ottenere.

I CVE importanti sono già nel pacchetto, come hai scoperto. Gli altri potrebbero non esserlo, perché non sono sfruttabili nella configurazione supportata o gli effetti non sono gravi. Questo è il motivo per cui i numeri CVE hanno le loro descrizioni e il loro impatto. Se cerchi in giro, vedrai la spiegazione del motivo per cui è stato o non è stato eseguito il backport su RHEL6.

In alcuni casi l'aggiornamento di OpenSSH alla versione corrente potrebbe avere senso, ma l'interoperabilità con il resto del sistema può essere interrotta, in alcuni casi è possibile ottenere un'esperienza utente o sicurezza peggiore. Inoltre, non riceverai più correzioni di bug e aggiornamenti di sicurezza da Red Hat. In questo caso dovrai seguire le versioni upstream, aggiornare manualmente ed eventualmente aggiungere le patch utilizzate nel pacchetto Red Hat OpenSSH per ottenere un'esperienza utente e sicurezza simili.