Conformità PCI TrustWave - OpenSSH

1

La prima volta 'asker' qui, ma volevo dire grazie a quanto ho usato questo sito e leggere le risposte alle domande che ho avuto!

Comunque, ultimamente ho avuto problemi con un nostro cliente che il server sta fallendo la scansione della conformità PCI da Trustwave. Il problema in particolare è che OpenSSH è vulnerabile e necessita di aggiornamento all'ultima versione 4.4. Tuttavia, in base ai numeri CVE forniti, sembra che la versione in esecuzione sul server sia stata corretta. Potrei leggerlo male, ma da quello che posso dire non c'è un problema.

Questo è ciò che la relazione iniziale ha detto:

Port: tcp/xxxx OpenSSH prior to version 4.4 is affected by multiple vulnerabilities that may allow for a remote attacker to execute arbitrary code on the affected device. This finding is based on version information which may not have been updated by previously installed patches (e.g., Red Hat "back ports"). Please submit a "Patched Service" dispute in TrustKeeper if this vulnerability has already been patched. CVE: NVD: Bugtraq: CVSSv2: Service: CVE-2006-5051, CVE-2006-5052 CVE-2006-5051, CVE-2006-5052 20241, 20245 AV:N/AC:M/Au:N/C:C/I:C/A:C ssh Evidence: Match: '4.3' is less than '4.4' Remediation: This issue was fixed in OpenSSH version 4.4. Upgrade to a recent/stable version Patches: http://www.openssh.com/

Quindi abbiamo presentato una disputa con le seguenti informazioni dal nostro server:

[root@host ~]# rpm -q centos-release centos-release-5-10.el5.centos

[root@host ~]# rpm -qa | grep -i ssh openssh-4.3p2-82.el5 openssh-clients-4.3p2-82.el5 openssh-server-4.3p2-82.el5

E tutti hanno risposto con questo:

We have denied this dispute based on the information provided. The information provided does not appear to be related to the vulnerability that this finding is regarding.

Secondo i link del database CVE di seguito, non stiamo eseguendo una versione con patch di OpenSSH?

link

link

Se no, dove mi sto girando? Grazie per il tuo tempo e ogni input sarebbe molto apprezzato!

Modifica :

Ho finito con l'invio di quanto segue, che a quanto pare era abbastanza buono perché Trustwave mi credesse quando ho detto che i nostri rilasci erano stati sostituiti.

# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2007-4752" - CVE-2007-4752 - Prevent ssh(1) from using a trusted X11 cookie if creation of an

# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5794" - CVE-2006-5794 - properly detect failed key verify in monitor (#214642)

# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5051" - CVE-2006-5051 - don't call cleanups from signal handler (#208459)

# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5052" - fix an information leak in Kerberos password authentication (CVE-2006-5052)

CVE-2008-1483: This has also been patched in Red Hat/CentOS releases (https://access.redhat.com/security/cve/CVE-2008-1483). To be sure, we have disabled X11 forwarding in SSH as it shouldn't be needed anyway.

    
posta oinkerz 06.08.2014 - 19:11
fonte

1 risposta

3

Senza controllo, assumerò che i tuoi RPM CentOS contengano correzioni backport che indirizzano i CVE elencati nel loro rapporto. (Ecco come RedHat lo fa e CentOS è RedHat in questo senso). Per questo motivo, i tuoi pacchetti sono probabilmente immuni da problemi che il loro banner potrebbe altrimenti indicare essere vulnerabili.

Ciò di cui hai bisogno per fornire Trustwave è la versione che stai utilizzando (che hai fatto) ma anche la prova che questa versione contiene correzioni per gli ID CVE che pensano che tu sia vulnerabile a. Se vai al database CVE RedHat ti dirà quali versioni includono le patch per un dato CVE, semplicemente raccogli quei link e inviarli a Trustwave.

    
risposta data 06.08.2014 - 19:31
fonte

Leggi altre domande sui tag