Scientific Linux 安全性更新：SL5.x i386/x86_64 上的 openssh

low Nessus Plugin ID 60657

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

CVE-2008-5161 OpenSSH：針對 CBC 加密的純文字復原攻擊

在 SSH 通訊協定中發現一個瑕疵。當使用 CBC 模式加密來加密 SSH 通訊時，能夠執行攔截式攻擊的攻擊者可能從任意密碼文字區塊取得一部分純文字。此更新協助減輕此攻擊的影響：
OpenSSH 用戶端與伺服器現在偏好 CTR 模式加密超過 CBC 模式，而 OpenSSH 伺服器現在會在偵測到損毀時讀取 SSH 封包直到其完全可能的長度，而非提早報告錯誤，從而降低了純文字成功復原的可能性。
(CVE-2008-5161)

此更新也可修正下列錯誤：

- 嘗試關閉背景處理程序仍維持 tty 檔案描述符號開啟的工作階段時，ssh 用戶端懸置。透過此更新，不會再發生所謂的「結束時懸置」錯誤，而且 ssh 用戶端會立即關閉工作階段。(BZ#454812)

此外，此更新還新增了下列增強功能：

- SFTP 伺服器現在可以在登入後，將使用者 chroot 至多種目錄，包括使用者的主目錄。已將一個新組態選項 (ChrootDirectory) 新增至 '/etc/ssh/sshd_config'，以進行此設定 (預設為不對使用者進行 chroot)。有關設定此新選項的詳細資訊，位於 sshd_config(5) 手冊頁面中。(BZ#440240)

- 經過驗證之 OpenSSH FIPS 模組中的可執行檔將會檢查其完整性，並在系統記錄或終端機中報告其 FIPS 模式狀態。(BZ#467268、BZ#492363)

安裝此更新之後，OpenSSH 伺服器程序 (sshd) 將會自動重新啟動。

注意：必須更新 fipscheck 才能建立相依性。