Scientific Linux 安全性更新:SL6.x i386/x86_64 上的 openssh

medium Nessus Plugin ID 78641

Synopsis

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

描述

據發現,OpenSSH 用戶端並未正確驗證 DNS SSHFP 記錄。惡意伺服器可能會利用此瑕疵,強制連線的用戶端跳過 DNS SSHFP 記錄檢查,並要求使用者執行 DNS SSHFP 記錄的手動主機驗證。
(CVE-2014-2653)

據發現,OpenSSH 並未正確處理內含萬用字元的特定 AcceptEnv 參數值。遠端攻擊者可利用此瑕疵來繞過預定的環境變數限制。
(CVE-2014-2532)

此更新也可修正下列錯誤:

- 根據 SP800-131A 資訊安全性標準,2013 年後禁止使用 1024 位元金鑰大小的數位簽章演算法 (DSA) 和金鑰大小小於 2048 位元的 RSA 來產生數位簽章。安裝此更新之後,在 FIPS 模式下 ssh-keygen 不會再產生小於 2048 位元的金鑰。不過,由於相容性的原因,sshd 服務會接受 1024 位元大小的金鑰以及更大的金鑰。

- 之前,openssh 公用程式不正確地將其所有子處理程序的 oom_adj 值設定為 -17。
此行為錯誤,因為子處理程序應將此值設為 0。
此更新會套用修補程式以修正此錯誤,所有子處理程序的 oom_adj 現在可如預期正確設為 0。

- 之前,如果 sshd 服務無法驗證使用 fipscheck 程式庫之已安裝 FIPS 模組的總和檢查碼,則只會在 sshd 標準錯誤輸出時提供有關此失敗的資訊。因此,系統未正確針對 FIPS 模式設定時,使用者無法注意到此訊息,而且不會收到通知。為了修正此錯誤,此行為已變更,且 sshd 現在可透過 syslog 服務傳送此類訊息。

- 使用 'ssh-add -e' 命令,從 ssh 代理程式中移除 pkcs11 程式庫所提供的金鑰時,系統便會提示使用者輸入 PIN。此更新已套用修補程式,以允許使用者沒有 PIN 就能移除 pkcs11 所提供的金鑰。

此外,此更新還新增了下列增強功能:

- 透過此更新,ControlPersist 已新增至 OpenSSH。與 ControlMaster 組態指示詞連結的選項指定初次用戶端連線已關閉後,主要連線在幕後中仍處於開啟狀態。

- 當 sshd 程序設為強制內部 SFTP 工作階段,而且使用者嘗試使用 SFTP 以外的連線時,系統會將相關訊息記錄至 /var/log/secure 檔案。

- 依 RFC5656 所指定金鑰交換 (ECDH) 和主機使用者金鑰 (ECDSA) 的橢圓曲線密碼編譯模式支援已新增至 openssh 套件。
不過,它們預設為停用,使用者需要手動將其啟用。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?732a5f93

Plugin 詳細資訊

嚴重性: Medium

ID: 78641

檔案名稱: sl_20141014_openssh_on_SL6_x.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2014/10/23

已更新: 2021/1/14

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Low

分數: 3.7

CVSS v2

風險因素: Medium

基本分數: 5.8

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS v3

風險因素: Medium

基本分數: 4.9

媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:N

弱點資訊

CPE: p-cpe:/a:fermilab:scientific_linux:openssh, p-cpe:/a:fermilab:scientific_linux:openssh-askpass, p-cpe:/a:fermilab:scientific_linux:openssh-clients, p-cpe:/a:fermilab:scientific_linux:openssh-debuginfo, p-cpe:/a:fermilab:scientific_linux:openssh-ldap, p-cpe:/a:fermilab:scientific_linux:openssh-server, p-cpe:/a:fermilab:scientific_linux:pam_ssh_agent_auth, x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2014/10/14

弱點發布日期: 2014/3/18

參考資訊

CVE: CVE-2014-2532, CVE-2014-2653