CVE-2015-5352 güvenlik açığı varsa PCI uyumluluğu başarısız olur . OpenSSH 6.9 bu güvenlik açığını giderir, ancak desteklenen Ubuntu sürümlerinden hiçbiri (12.04, 14.04, 15.04 ve 15.10) eklenmiş değildir .
Bu güvenlik açığını gidermenin en iyi yolu nedir?
Yanıtlar:
Aynı sorunu yaşıyorum. Ubuntu'dan bir düzeltme beklerken, bunun da CSA ile ilgileneceğim bir konu olduğuna karar verdim; aşağıdaki nedenden dolayı.
Sunulan sorunu anlarsam, sorun yalnızca etkilenen bilgisayardaki bir kök kullanıcının X11 bağlantılarını iletmesine izin veriliyorsa ortaya çıkar. Ortamımda, etkilenen bilgisayarlardaki aynı kök kullanıcılar, o bilgisayardan erişilebilen herhangi bir sistemdeki kök erişimine sahipler, bu nedenle, kötü niyetli bir etkinlik yürüteceklerse, bu olası güvenlik açığı bu kullanıcıyı ne engelleyebilir, ne de engeller.
İkincisi, sorun X11 bağlantılarını iletme yeteneğine bağlıysa, bu özelliği "ForwardX11Trusted no" ve "ForwardX11Timeout 0" ile devre dışı bırakmamalı mıyım? Bu benim şu anki yapılandırmam ve X11 kurulumum olmadığı için uygun gibi görünüyor.
Bu, bu konuyu PCI uyumluluk tarayıcılarına ekleyen kişi üzerinde yapılan gerçekten zayıf bir araştırma. Taramalarımda sorun şu şekilde tanımlanıyor:
özet
Uzak ana bilgisayarda çalışan SSH sunucusu birden çok güvenlik açığından etkilenir.
Açıklama
Afişine göre, uzak ana bilgisayarda çalışan OpenSSH sürümü 6.9'dan önce. Bu nedenle, aşağıdaki güvenlik açıklarından etkilenir:
'FormesX11Timeout' süresi dolduktan sonra bağlantılara izin verilmesine izin veren 'kanal.c' dosyasındaki x11_open_helper () işlevi içinde bir kusur vardır. Uzaktaki bir saldırgan, zaman aşımı denetimlerini ve XSECURITY kısıtlamalarını atlamak için bundan yararlanabilir. (CVE-2015-5352)
Başarısızlık gecikmesini artırarak, parolanın tuzlu karmasını depolayarak ve zaman emniyetli bir karşılaştırma işlevi kullanarak, ajan kilitlemesindeki zayıflığı gidermekle çeşitli sorunlar giderildi.
Yanlış desen uzunluklarını işlerken sınırların dışında bir okuma hatası var. Uzaktaki bir saldırgan, hizmet reddine neden olmak veya bellekteki hassas bilgileri ifşa etmek için bundan yararlanabilir.
'EscapeChar' yapılandırma seçeneğini ayrıştırırken sınırların dışında bir okuma hatası var.
Öneri
OpenSSH 6.9 veya daha yeni bir sürüme yükseltin.
Şimdi onu parçalayalım:
X11_open_helper () işlevinde bir hata var ( CVE-2015-5352 )
Bu güvenlik açığı, SSH sunucularını (azalan) değil SSH istemcilerini etkileyen bir güvenlik açığıdır . X ortamı olan bir SSH istemcisi, X11 iletmeyi kullanarak kötü amaçlı bir SSH sunucusuna bağlanırken güvenlik açığından etkilenir. Tarayıcı doğal olarak istemcileri değil , sunucuları tarıyor ... Çoğu durumda, X uzaktaki sunucuya bile yüklenmeyecek ve bu güvenlik açığının gerektirdiği senaryoyu çoğaltmak imkansız olacak şekilde yalnızca güvenilir sunuculara bağlantılar yapılacaktır.
Ajan kilitlemedeki zayıflık giderilerek çeşitli konular ele alındı
Yine, ssh-agent bir istemci programıdır, bu yüzden bu hata taranan sunucunun güvenliğini etkilemez ve OpenSSH 6.9'a yükseltmek, sunucu zaten tehlikeye atılmadığı ve diğer makinelere giriş yapmak için kullanılmadığı sürece bu durumun istismar edilmesini önleyecek hiçbir şey yapmaz. ssh-agent kullanarak.
Yanlış desen uzunluklarını işlerken sınırların dışında bir okuma hatası var
Kaynak koduna bakmak, hatayı içeren kodun OpenSSH 6.6'da bile bulunmadığını ve OpenSSH 6.8 hatasının bulunmadığını göstermektedir. Düzeltme eki , match_pattern_list()yöntemin nasıl kullanıldığını değiştirir, ancak bu yöntem OpenSSH 6.6'da yoktur.
'EscapeChar' yapılandırma seçeneğini ayrıştırırken sınırların dışında bir okuma hatası var
Bu hata yalnızca 'ssh' istemci programı komut satırı veya config dosyası ayrıştırması ile ilgilidir, sshd sunucusuyla değil ve bu nedenle sshd çalıştıran özel bir sistemle ilgisi yoktur. Ayrıca, bu Sürüm Notlarında Hata olarak listelenmiştir ve Güvenlik konusu değildir; bu nedenle yanlış parametreler kullanılıyorsa, istemci makinede bir segfault'a neden olmaktan daha fazlasını yapabileceğinden şüpheliyim.
OpenSSH 6.9 veya daha yeni bir sürüme yükseltin.
Bu nedenle, özetle, bu müşteri sorunlarının tümü nedeniyle sunucunuzu OpenSSH 6.9'a yükseltmelisiniz. Çoğu dağıtımın henüz 6.9'u desteklemediğini düşünürsek, bu kesinlikle aptalca bir tavsiyedir. Benim tavsiyem, kendi tarayıcınız tarafından desteklenen en son OpenSSH’yi, standart olarak ve kendi veri bankanızın söylediği gibi kendi OpenSSH kurulumlarınızı sürdürmek yerine , gerçekte geçerli olan ve geriye dönük düzeltmeleri olan güvenlik depolarını kullanarak sürdürmektir.
OpenSSH 6.7'yi el ile yükleme adımlarını listeleyen bu blog makalesini buldum . Talimatları yerine , OpenSSH 6.9 kullanarak izledim .