Ubuntu 12.04, PCI, and CVE-2015-5352

Question 1

PCI compliance will fail when the CVE-2015-5352 vulnerability is present. OpenSSH 6.9 fixes this vulnerability, but none of the supported versions of Ubuntu (12.04, 14.04, 15.04 and 15.10) have been patched.

What is the best way to address this vulnerability?

Question 2

Я нашел эта статья блога, которая перечислила шаги для того, чтобы вручную установить OpenSSH 6.7. Я следовал инструкциям, с помощью OpenSSH 6.9 вместо этого.

Question 3

Question 4

Я испытываю ту же проблему. В то время как я жду фиксации от ubuntu I, также решили, что это - проблема, которую я решил бы со своим CSA; по следующей причине.

, Если я понимаю представленную проблему, проблема только возникает, если пользователю root на затронутом компьютере разрешают передать соединения X11. В моей среде у тех же пользователей root на затронутых компьютерах есть доступ для укоренения в любой системе, достижимой от того компьютера, следовательно, если бы они должны были провести злонамеренное действие, то эта потенциальная уязвимость ни не помогла бы, ни препятствовала бы тому пользователю.

, Во-вторых, если проблема зависит от способности передать соединения X11, то не был должен, отключив эту опцию с "ForwardX11Trusted не", и "ForwardX11Timeout 0" быть надлежащей конфигурацией фиксируют? Это - моя текущая конфигурация и поскольку у меня есть установки № X11, кажется, соответствует.

Question 5

Это - действительно плохое исследование со стороны того, кто бы ни добавил эту проблему к сканерам соответствия PCI. На моих сканированиях проблема описана как следующее:

Резюме

сервер SSH, работающий на удаленном хосте, затронут несколькими уязвимостями.

Описание

Согласно его баннеру, версия OpenSSH, работающего на удаленном хосте, до 6,9. Это, поэтому, затронуто следующими уязвимостями:

дефект А существует в x11_open_helper () функция в 'channels.c' файле, который позволяет соединениям быть разрешенными после того, как 'ForwardX11Timeout' истек. Удаленный взломщик может использовать это для обхода проверок тайм-аута и ограничений XSECURITY. (CVE-2015-5352)

Различные проблемы были обращены путем фиксации слабости в блокировке агента путем увеличения задержки отказа, хранения соленого хеша пароля и использования безопасной от синхронизации функции сравнения.

за пределы ошибка чтения существует при обработке неправильных длин шаблона. Удаленный взломщик может использовать это, чтобы вызвать отказ в обслуживании или раскрыть уязвимую информацию в памяти.

за пределы ошибка чтения существует при парсинге параметра конфигурации 'EscapeChar'.

Обновление Рекомендации

OpenSSH 6.9 или позже.

Позволяют нам сломать его:

дефект А существует в x11_open_helper () функция ( CVE-2015-5352)

, Эта уязвимость является той, которая влияет на SSH клиенты , не SSH серверы (desc) . Клиент SSH с X средами сделан уязвимым при соединении со злонамеренным сервером SSH с помощью передачи X11. Сканер по сути сканирует серверы не клиенты ... В большинстве случаев, X даже не будет установлен на удаленном сервере, и связи будут только установлены с доверяемыми серверами так сценарий, которого требует эта уязвимость, невозможно копировать.

Различные проблемы были решены путем фиксации слабости в агенте, блокирующем

Снова, ssh-агент клиент программа, таким образом, эта ошибка не влияет на безопасность просканированного сервера, и обновляющий до OpenSSH 6.9 не сделал бы ничего, чтобы препятствовать тому, чтобы это было использовано, если сервер не был уже поставлен под угрозу и используемый входить в другие машины с помощью ssh-агента.

за пределы ошибка чтения существует при обработке неправильных длин шаблона

, Рассмотрение исходного кода показывает, что код, который содержит ошибку, даже не присутствует в OpenSSH 6.6, и ошибка OpenSSH 6.8 поэтому не применима. патч изменения, как match_pattern_list() метод используется, но этот метод не существует в OpenSSH 6.6.

за пределы ошибка чтения существует при парсинге параметра конфигурации 'EscapeChar'

Этот , ошибка связана только с клиентом 'ssh' командная строка программы или парсинг файла конфигурации, не sshd сервер и поэтому не имеет никакого отношения к частной системе, которая выполняет sshd. Кроме того, это перечислено в эти Информация о версии как Ошибка и не Проблема безопасности, таким образом, я сомневаюсь, что она может сделать что-то большее чем просто вызвать segfault на клиентской машине, если неправильные параметры используются.

Обновление OpenSSH 6.9 или позже.

Так, таким образом, из-за всех этих клиент проблемы необходимо обновить сервер до OpenSSH 6.9. При полагании, что большинство дистрибутивов еще не поддерживает 6.9, это - абсолютно идиотичный совет. Мой совет состоит в том, чтобы продолжать управлять последним OpenSSH, который поддерживается Вашим дистрибутивом с помощью стандарта и репозиториев безопасности с бэкпортированными мерами, которые являются на самом деле применимы вместо того, чтобы поддержать собственные сборки OpenSSH просто потому что сканер PCI, сказанный так.

Sonny · Accepted Answer · 7 December 2019 в 16:13

Я нашел эта статья блога, которая перечислила шаги для того, чтобы вручную установить OpenSSH 6.7. Я следовал инструкциям, с помощью OpenSSH 6.9 вместо этого.

Raymond · Answer 2 · 7 December 2019 в 16:13

Я испытываю ту же проблему. В то время как я жду фиксации от ubuntu I, также решили, что это - проблема, которую я решил бы со своим CSA; по следующей причине.

, Если я понимаю представленную проблему, проблема только возникает, если пользователю root на затронутом компьютере разрешают передать соединения X11. В моей среде у тех же пользователей root на затронутых компьютерах есть доступ для укоренения в любой системе, достижимой от того компьютера, следовательно, если бы они должны были провести злонамеренное действие, то эта потенциальная уязвимость ни не помогла бы, ни препятствовала бы тому пользователю.

, Во-вторых, если проблема зависит от способности передать соединения X11, то не был должен, отключив эту опцию с "ForwardX11Trusted не", и "ForwardX11Timeout 0" быть надлежащей конфигурацией фиксируют? Это - моя текущая конфигурация и поскольку у меня есть установки № X11, кажется, соответствует.

ColinM · Answer 3 · 7 December 2019 в 16:13

Это - действительно плохое исследование со стороны того, кто бы ни добавил эту проблему к сканерам соответствия PCI. На моих сканированиях проблема описана как следующее:

Резюме

сервер SSH, работающий на удаленном хосте, затронут несколькими уязвимостями.

Описание

Согласно его баннеру, версия OpenSSH, работающего на удаленном хосте, до 6,9. Это, поэтому, затронуто следующими уязвимостями:

дефект А существует в x11_open_helper () функция в 'channels.c' файле, который позволяет соединениям быть разрешенными после того, как 'ForwardX11Timeout' истек. Удаленный взломщик может использовать это для обхода проверок тайм-аута и ограничений XSECURITY. (CVE-2015-5352)

Различные проблемы были обращены путем фиксации слабости в блокировке агента путем увеличения задержки отказа, хранения соленого хеша пароля и использования безопасной от синхронизации функции сравнения.

за пределы ошибка чтения существует при обработке неправильных длин шаблона. Удаленный взломщик может использовать это, чтобы вызвать отказ в обслуживании или раскрыть уязвимую информацию в памяти.

за пределы ошибка чтения существует при парсинге параметра конфигурации 'EscapeChar'.

Обновление Рекомендации

OpenSSH 6.9 или позже.

Позволяют нам сломать его:

дефект А существует в x11_open_helper () функция ( CVE-2015-5352)

, Эта уязвимость является той, которая влияет на SSH клиенты , не SSH серверы (desc) . Клиент SSH с X средами сделан уязвимым при соединении со злонамеренным сервером SSH с помощью передачи X11. Сканер по сути сканирует серверы не клиенты ... В большинстве случаев, X даже не будет установлен на удаленном сервере, и связи будут только установлены с доверяемыми серверами так сценарий, которого требует эта уязвимость, невозможно копировать.

Различные проблемы были решены путем фиксации слабости в агенте, блокирующем

Снова, ssh-агент клиент программа, таким образом, эта ошибка не влияет на безопасность просканированного сервера, и обновляющий до OpenSSH 6.9 не сделал бы ничего, чтобы препятствовать тому, чтобы это было использовано, если сервер не был уже поставлен под угрозу и используемый входить в другие машины с помощью ssh-агента.

за пределы ошибка чтения существует при обработке неправильных длин шаблона

, Рассмотрение исходного кода показывает, что код, который содержит ошибку, даже не присутствует в OpenSSH 6.6, и ошибка OpenSSH 6.8 поэтому не применима. патч изменения, как match_pattern_list() метод используется, но этот метод не существует в OpenSSH 6.6.

за пределы ошибка чтения существует при парсинге параметра конфигурации 'EscapeChar'

Этот , ошибка связана только с клиентом 'ssh' командная строка программы или парсинг файла конфигурации, не sshd сервер и поэтому не имеет никакого отношения к частной системе, которая выполняет sshd. Кроме того, это перечислено в эти Информация о версии как Ошибка и не Проблема безопасности, таким образом, я сомневаюсь, что она может сделать что-то большее чем просто вызвать segfault на клиентской машине, если неправильные параметры используются.

Обновление OpenSSH 6.9 или позже.

Так, таким образом, из-за всех этих клиент проблемы необходимо обновить сервер до OpenSSH 6.9. При полагании, что большинство дистрибутивов еще не поддерживает 6.9, это - абсолютно идиотичный совет. Мой совет состоит в том, чтобы продолжать управлять последним OpenSSH, который поддерживается Вашим дистрибутивом с помощью стандарта и репозиториев безопасности с бэкпортированными мерами, которые являются на самом деле применимы вместо того, чтобы поддержать собственные сборки OpenSSH просто потому что сканер PCI, сказанный так.

Ubuntu 12.04, PCI, and CVE-2015-5352

3 ответа

Другие вопросы по тегам:

Похожие вопросы: