Cumplimiento con TrustWave PCI - OpenSSH

Navega tus respuestas
1

La primera vez que pregunto 'aquí', ¡pero quería agradecerle lo mucho que he usado este sitio y leer las respuestas a las preguntas que he tenido!

De todos modos, últimamente he estado teniendo problemas con un cliente nuestro, cuyo servidor está fallando el análisis de conformidad con PCI de Trustwave. El problema en particular es que OpenSSH es vulnerable y necesita actualizarse a la última versión 4.4. Sin embargo, de acuerdo con los números de CVE que proporcionaron, parece que la versión que está ejecutando el servidor ha sido parcheada. Podría estar leyendo mal, pero por lo que puedo decir no hay un problema.

Esto es lo que dijo el informe inicial:

Port: tcp/xxxx OpenSSH prior to version 4.4 is affected by multiple vulnerabilities that may allow for a remote attacker to execute arbitrary code on the affected device. This finding is based on version information which may not have been updated by previously installed patches (e.g., Red Hat "back ports"). Please submit a "Patched Service" dispute in TrustKeeper if this vulnerability has already been patched. CVE: NVD: Bugtraq: CVSSv2: Service: CVE-2006-5051, CVE-2006-5052 CVE-2006-5051, CVE-2006-5052 20241, 20245 AV:N/AC:M/Au:N/C:C/I:C/A:C ssh Evidence: Match: '4.3' is less than '4.4' Remediation: This issue was fixed in OpenSSH version 4.4. Upgrade to a recent/stable version Patches: http://www.openssh.com/

Entonces, presentamos una disputa con la siguiente información de nuestro servidor:

[root@host ~]# rpm -q centos-release centos-release-5-10.el5.centos

[root@host ~]# rpm -qa | grep -i ssh openssh-4.3p2-82.el5 openssh-clients-4.3p2-82.el5 openssh-server-4.3p2-82.el5

Y todos con lo que respondieron fue esto:

We have denied this dispute based on the information provided. The information provided does not appear to be related to the vulnerability that this finding is regarding.

De acuerdo con los enlaces de la base de datos de CVE a continuación, ¿no estamos ejecutando una versión parcheada de OpenSSH?

enlace

enlace

Si no, ¿a dónde me dan la vuelta? ¡Gracias por su tiempo y cualquier entrada sería muy apreciada!

EDIT :

Terminé enviando lo siguiente, que aparentemente fue lo suficientemente bueno para que Trustwave me creyera cuando les dije que nuestros lanzamientos habían sido portados.

# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2007-4752" - CVE-2007-4752 - Prevent ssh(1) from using a trusted X11 cookie if creation of an

# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5794" - CVE-2006-5794 - properly detect failed key verify in monitor (#214642)

# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5051" - CVE-2006-5051 - don't call cleanups from signal handler (#208459)

# rpm -q --changelog openssh-server-4.3p2-82.el5 | grep "CVE-2006-5052" - fix an information leak in Kerberos password authentication (CVE-2006-5052)

CVE-2008-1483: This has also been patched in Red Hat/CentOS releases (https://access.redhat.com/security/cve/CVE-2008-1483). To be sure, we have disabled X11 forwarding in SSH as it shouldn't be needed anyway.

    
pregunta oinkerz 06.08.2014 - 19:11
fuente

1 respuesta

3

Sin verificar, voy a suponer que sus RPM CentOS contienen soluciones con portada posterior que abordan los CVE enumerados en su informe. (Así lo hace RedHat y CentOS es RedHat en este sentido). Debido a esto, sus paquetes probablemente sean inmunes a los problemas a los que su banner les indicaría que son vulnerables.

Lo que necesita para proporcionar a Trustwave es la versión que está ejecutando (lo que ha hecho), pero también la evidencia de que esta versión contiene correcciones para las ID de CVE que consideran vulnerables. a. Si accede a la base de datos de RedHat CVE , le dirá qué versiones incluyen los parches para un CVE determinado, simplemente recopile esos enlaces. y enviarlos a Trustwave.

    
respondido por el gowenfawr 06.08.2014 - 19:31
fuente

Lea otras preguntas en las etiquetas

Alternativas de ofuscación código codificado inyectado