Bu, bu konuyu PCI uyumluluk tarayıcılarına ekleyen kişi üzerinde yapılan gerçekten zayıf bir araştırma. Taramalarımda sorun şu şekilde tanımlanıyor:
özet
Uzak ana bilgisayarda çalışan SSH sunucusu birden çok güvenlik açığından etkilenir.
Açıklama
Afişine göre, uzak ana bilgisayarda çalışan OpenSSH sürümü 6.9'dan önce. Bu nedenle, aşağıdaki güvenlik açıklarından etkilenir:
'FormesX11Timeout' süresi dolduktan sonra bağlantılara izin verilmesine izin veren 'kanal.c' dosyasındaki x11_open_helper () işlevi içinde bir kusur vardır. Uzaktaki bir saldırgan, zaman aşımı denetimlerini ve XSECURITY kısıtlamalarını atlamak için bundan yararlanabilir. (CVE-2015-5352)
Başarısızlık gecikmesini artırarak, parolanın tuzlu karmasını depolayarak ve zaman emniyetli bir karşılaştırma işlevi kullanarak, ajan kilitlemesindeki zayıflığı gidermekle çeşitli sorunlar giderildi.
Yanlış desen uzunluklarını işlerken sınırların dışında bir okuma hatası var. Uzaktaki bir saldırgan, hizmet reddine neden olmak veya bellekteki hassas bilgileri ifşa etmek için bundan yararlanabilir.
'EscapeChar' yapılandırma seçeneğini ayrıştırırken sınırların dışında bir okuma hatası var.
Öneri
OpenSSH 6.9 veya daha yeni bir sürüme yükseltin.
Şimdi onu parçalayalım:
X11_open_helper () işlevinde bir hata var ( CVE-2015-5352 )
Bu güvenlik açığı, SSH sunucularını (azalan) değil SSH istemcilerini etkileyen bir güvenlik açığıdır . X ortamı olan bir SSH istemcisi, X11 iletmeyi kullanarak kötü amaçlı bir SSH sunucusuna bağlanırken güvenlik açığından etkilenir. Tarayıcı doğal olarak istemcileri değil , sunucuları tarıyor ... Çoğu durumda, X uzaktaki sunucuya bile yüklenmeyecek ve bu güvenlik açığının gerektirdiği senaryoyu çoğaltmak imkansız olacak şekilde yalnızca güvenilir sunuculara bağlantılar yapılacaktır.
Ajan kilitlemedeki zayıflık giderilerek çeşitli konular ele alındı
Yine, ssh-agent bir istemci programıdır, bu yüzden bu hata taranan sunucunun güvenliğini etkilemez ve OpenSSH 6.9'a yükseltmek, sunucu zaten tehlikeye atılmadığı ve diğer makinelere giriş yapmak için kullanılmadığı sürece bu durumun istismar edilmesini önleyecek hiçbir şey yapmaz. ssh-agent kullanarak.
Yanlış desen uzunluklarını işlerken sınırların dışında bir okuma hatası var
Kaynak koduna bakmak, hatayı içeren kodun OpenSSH 6.6'da bile bulunmadığını ve OpenSSH 6.8 hatasının bulunmadığını göstermektedir. Düzeltme eki , match_pattern_list()
yöntemin nasıl kullanıldığını değiştirir, ancak bu yöntem OpenSSH 6.6'da yoktur.
'EscapeChar' yapılandırma seçeneğini ayrıştırırken sınırların dışında bir okuma hatası var
Bu hata yalnızca 'ssh' istemci programı komut satırı veya config dosyası ayrıştırması ile ilgilidir, sshd sunucusuyla değil ve bu nedenle sshd çalıştıran özel bir sistemle ilgisi yoktur. Ayrıca, bu Sürüm Notlarında Hata olarak listelenmiştir ve Güvenlik konusu değildir; bu nedenle yanlış parametreler kullanılıyorsa, istemci makinede bir segfault'a neden olmaktan daha fazlasını yapabileceğinden şüpheliyim.
OpenSSH 6.9 veya daha yeni bir sürüme yükseltin.
Bu nedenle, özetle, bu müşteri sorunlarının tümü nedeniyle sunucunuzu OpenSSH 6.9'a yükseltmelisiniz. Çoğu dağıtımın henüz 6.9'u desteklemediğini düşünürsek, bu kesinlikle aptalca bir tavsiyedir. Benim tavsiyem, kendi tarayıcınız tarafından desteklenen en son OpenSSH’yi, standart olarak ve kendi veri bankanızın söylediği gibi kendi OpenSSH kurulumlarınızı sürdürmek yerine , gerçekte geçerli olan ve geriye dönük düzeltmeleri olan güvenlik depolarını kullanarak sürdürmektir.