¿Por qué algunos parches CVE de OpenSSH no se actualizan cuando se comprueban las actualizaciones? [cerrado]

Question

¿Por qué algunos parches CVE de OpenSSH no se actualizan cuando se comprueban las actualizaciones? [cerrado]

#1 de Jakuje (1 votos)

2

Estoy trabajando para pasar algunos análisis PCI de Trustwave en mi servidor, comenzando con los CVE de OpenSSH.

Esto es con lo que estoy trabajando:

root@host [~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
root@host [~]# cat /proc/version
Linux version 2.6.32-042stab116.2 ([email protected]) (gcc version 4                 .4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Jun 24 15:33:57 MSK 2016

He estado revisando el registro de cambios para confirmar que ciertos problemas de CVE tienen instalados los parches apropiados. He podido confirmar que se ha abordado lo siguiente:

root@host [~]# rpm -q --changelog openssh | grep 'CVE'

 - CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817)
 - CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048)
 -  CVE-2015-5352: XSECURITY restrictions bypass under certain conditions
 -  CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices
 -  CVE-2015-6563: Privilege separation weakness related to PAM support
 -  CVE-2015-6564: Use-after-free bug related to PAM support
 - prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653
 - ignore environment variables with embedded '=' or 'root@host [~]# yum update

Loaded plugins: fastestmirror

Setting up Update Process

Loading mirror speeds from cached hostfile

 * base: mirrors.liquidweb.com

 * centosplus: centos.mirrors.my2pro.com

 * contrib: mirrors.tummy.com

 * epel: mirror.compevo.com

 * extras: repo1.sea.innoscale.net

 * fasttrack: mirror.scalabledns.com

 * updates: centos.mirror.lstn.net

No Packages marked for Update
' characters CVE-2014-2532
 - change default value of MaxStartups - CVE-2010-5107 - #908707
 - fixed audit log injection problem (CVE-2007-3102)
 - CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
 - CVE-2006-4924 - prevent DoS on deattack detector (#207957)
 - CVE-2006-5051 - don't call cleanups from signal handler (#208459)
 - use fork+exec instead of system in scp - CVE-2006-0225 (#168167)

Sin embargo, los siguientes CVE, que se muestran como vulnerabilidades en el análisis, no se muestran en el registro de cambios.

CVE-2015-8325

CVE-2016-10009

CVE-2016-10012

CVE-2016-0777

CVE-2016-10010

CVE-2016-6515

Todo esto después de:

root@host [~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
root@host [~]# cat /proc/version
Linux version 2.6.32-042stab116.2 ([email protected]) (gcc version 4                 .4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Jun 24 15:33:57 MSK 2016

Todo lo que estoy leyendo en línea está diciendo que NO actualices OpenSSH a la última versión, ya que todo debería estar cargado. Sin embargo, me parece que la versión que estoy ejecutando no se está actualizando con los parches apropiados.

¿Debería instalar manualmente estos parches o debo intentar instalar la última versión de openssh?

openssh cve

pregunta choffm12 20.03.2017 - 05:19

fuente

1 respuesta

Lea otras preguntas en las etiquetas openssh cve

¿Qué alternativas seguras tengo para almacenar direcciones postales / números de teléfono en MySQL? En los días de los firewalls sin estado, ¿hubo alguna razón para usar el firewall en lugar del enrutador?

score 1 · Answer 1

¿Debería instalar manualmente estos parches o debo intentar instalar la última versión de openssh?

Depende de lo que estés tratando de lograr.

Las CVE importantes ya están en el paquete ya corregidas, tal como lo descubrió. Es posible que los otros no lo sean, porque no se pueden explotar en la configuración compatible o los efectos no son graves. Es por esto que los números CVE tienen sus descripciones e impacto. Si realiza una búsqueda, verá la explicación de por qué fue o no fue portada a RHEL6.

La actualización de OpenSSH a la versión actual puede tener sentido en algunos casos, pero la interoperabilidad con el resto del sistema puede romperse, puede obtener una experiencia de usuario peor o seguridad en algunos casos. Tampoco obtendrá más correcciones de errores y actualizaciones de seguridad de Red Hat. En este caso, deberá seguir las versiones anteriores, actualizar manualmente y, posiblemente, agregar los parches que se utilizan en el paquete OpenSSH de Red Hat para obtener una experiencia de usuario y seguridad similares.