偵測

Scientific Linux 安全性更新:SL6.x i386/x86_64 上的 openssh

low Nessus Plugin ID 61345

語系:

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

OpenSSH 是 OpenBSD 的 Secure Shell (SSH) 通訊協定實作。這些套件包括 OpenSSH 用戶端和伺服器所需的核心檔案。

在 OpenSSH GSSAPI 驗證實作中發現拒絕服務瑕疵。遠端驗證使用者可利用此瑕疵造成 OpenSSH 伺服器程序 (sshd) 使用過量記憶體,導致拒絕服務。GSSAPI 驗證預設為啟用 (「/etc/ssh/sshd_config」中的「GSSAPIAuthentication yes」)。(CVE-2011-5000)

這些更新版 openssh 套件也提供下列錯誤的修正:

- 若已啟用 IPv6 且參數 X11UseLocalhost 設定為 'no',則 SSH X11 轉送會失敗。因此,使用者可能無法設定 X 轉送。此更新修正了 sshd 與 ssh 以針對 IPv6 通訊協定正確連結連接埠。因此,X11 轉送現在可如預期與 IPv6 搭配使用。

- 當執行壓力測試時,sshd 程序由 OOM 終止程式終止。因此,使用者可能無法登入。在此更新之下,sshd 程序會將其 oom_adj 值設定為 -17。因此,OOM 終止程式並未選擇 sshd,使用者能夠登入以解決記憶體的問題。

- 如果 SSH 伺服器設定了包含反斜線字元的標題,用戶端將會以另一個「\」字元將其逸出,所以它會印出兩個反斜線。已套用上游修補程式以更正此問題,且 SSH 標題現在能夠正確顯示。

此外,這些更新版 openssh 套件可提供下列增強功能:

- 之前,SSH 允許多種驗證方式,而成功登入只需要其中一種方式。
 SSH 現在可以設定為需要多種驗證方式。例如,登入啟用 SSH 的機器需要同時輸入複雜密碼與公開金鑰。RequiredAuthentications1 與 RequiredAuthentications2 選項可在 /etc/ssh/sshd_config 檔案中設定以指定成功登入所需要的驗證。例如,若要針對 SSH 第 2 版設定金鑰與密碼驗證,請輸入:

echo 'RequiredAuthentications2 publickey,password' >> /etc/ssh/sshd_config

如需前述 /etc/ssh/sshd_config 選項的詳細資訊,請參閱 sshd_config 手冊頁。

- 之前,OpenSSH 可能僅針對 AES 加密區塊鏈結 (CBC) 密碼套用進階加密標準新指令集 (AES-NI)。此更新新增了對於 OpenSSH 中計數器 (CTR) 模式加密的支援,因此 AES-NI 指令集現在也可與 AES CTR 加密有效搭配使用。

- 在此更新之前,無權限的從屬 sshd 處理程序在權限分隔 (privsep) 期間以 sshd_t 內容的形式執行。sshd_t 是用來執行 sshd 程序的 SELinux 內容。假設無權限的從屬處理程序在使用者的 UID 之下執行,則適合在使用者的 SELinux 內容之下,而非在具權限的 sshd_t 內容之下執行此處理程序。在此更新之下,無權限的從屬處理程序現在以使用者的內容身分,而非符合權限分隔原則之 sshd_t 內容的身分執行。
 可能對安全性威脅更敏感的無權限的處理程序,現在會在使用者的 SELinux 內容之下執行。

建議使用者升級至這些更新版 openssh 套件,其中包含可解決這些問題的反向移植修補程式並新增這些增強功能。安裝此更新之後,OpenSSH 伺服器程序 (sshd) 將會自動重新啟動。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?724debbd

Plugin 詳細資訊

嚴重性: Low

ID: 61345

檔案名稱: sl_20120620_openssh_on_SL6_x.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2012/8/1

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Low

基本分數: 3.5

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:fermilab:scientific_linux:openssh, p-cpe:/a:fermilab:scientific_linux:openssh-askpass, p-cpe:/a:fermilab:scientific_linux:openssh-clients, p-cpe:/a:fermilab:scientific_linux:openssh-debuginfo, p-cpe:/a:fermilab:scientific_linux:openssh-ldap, p-cpe:/a:fermilab:scientific_linux:openssh-server, p-cpe:/a:fermilab:scientific_linux:pam_ssh_agent_auth, x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2012/6/20

弱點發布日期: 2012/4/5

參考資訊

CVE: CVE-2011-5000