La prima volta 'asker' qui, ma volevo dire grazie a quanto ho usato questo sito e leggere le risposte alle domande che ho avuto!
Comunque, ultimamente ho avuto problemi con un nostro cliente che il server sta fallendo la scansione della conformità PCI da Trustwave. Il problema in particolare è che OpenSSH è vulnerabile e necessita di aggiornamento all'ultima versione 4.4. Tuttavia, in base ai numeri CVE forniti, sembra che la versione in esecuzione sul server sia stata corretta. Potrei leggerlo male, ma da quello che posso dire non c'è un problema.
Questo è ciò che la relazione iniziale ha detto:
Port: tcp/xxxx
OpenSSH prior to version 4.4 is affected by multiple vulnerabilities
that may allow for a remote attacker to execute arbitrary code on
the affected device.
This finding is based on version information which may not have
been updated by previously installed patches (e.g., Red Hat "back
ports"). Please submit a "Patched Service" dispute in TrustKeeper
if this vulnerability has already been patched.
CVE:
NVD:
Bugtraq:
CVSSv2:
Service:
CVE-2006-5051, CVE-2006-5052
CVE-2006-5051, CVE-2006-5052
20241, 20245
AV:N/AC:M/Au:N/C:C/I:C/A:C
ssh
Evidence:
Match: '4.3' is less than '4.4'
Remediation: This issue was fixed in OpenSSH version 4.4. Upgrade to a
recent/stable version
Patches:
http://www.openssh.com/
Quindi abbiamo presentato una disputa con le seguenti informazioni dal nostro server:
[root@host ~]# rpm -q centos-release
centos-release-5-10.el5.centos
[root@host ~]# rpm -qa | grep -i ssh
openssh-4.3p2-82.el5
openssh-clients-4.3p2-82.el5
openssh-server-4.3p2-82.el5
E tutti hanno risposto con questo:
We have denied this dispute based on the information provided. The
information provided does not appear to be related to the vulnerability that
this finding is regarding.
Secondo i link del database CVE di seguito, non stiamo eseguendo una versione con patch di OpenSSH?
Se no, dove mi sto girando? Grazie per il tuo tempo e ogni input sarebbe molto apprezzato!
Modifica :
Ho finito con l'invio di quanto segue, che a quanto pare era abbastanza buono perché Trustwave mi credesse quando ho detto che i nostri rilasci erano stati sostituiti.
# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2007-4752"
- CVE-2007-4752 - Prevent ssh(1) from using a trusted X11 cookie if creation of an
# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5794"
- CVE-2006-5794 - properly detect failed key verify in monitor (#214642)
# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5051"
- CVE-2006-5051 - don't call cleanups from signal handler (#208459)
# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5052"
- fix an information leak in Kerberos password authentication (CVE-2006-5052)
CVE-2008-1483: This has also been patched in Red Hat/CentOS releases (https://access.redhat.com/security/cve/CVE-2008-1483). To be sure, we have disabled X11 forwarding in SSH as it shouldn't be needed anyway.