CentOS 6 : openssh (CESA-2014:1552)

medium Nessus Plugin ID 79184

Synopsis

遠端 CentOS 主機缺少一個或多個安全性更新。

描述

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 openssh 套件,可修正兩個安全性問題、數個錯誤,並新增各種增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

OpenSSH 是 OpenBSD 的 SSH (Secure Shell) 通訊協定實作。這些套件同時包括 OpenSSH 用戶端和伺服器所需的核心檔案。

據發現,OpenSSH 用戶端並未正確驗證 DNS SSHFP 記錄。惡意伺服器可能會利用此瑕疵,強制連線的用戶端跳過 DNS SSHFP 記錄檢查,並要求使用者執行 DNS SSHFP 記錄的手動主機驗證。
(CVE-2014-2653)

據發現,OpenSSH 並未正確處理內含萬用字元的特定 AcceptEnv 參數值。遠端攻擊者可利用此瑕疵來繞過預定的環境變數限制。
(CVE-2014-2532)

此更新也可修正下列錯誤:

* 根據 SP800-131A 資訊安全性標準,2013 年後禁止使用 1024 位元金鑰大小的數位簽章演算法 (DSA) 和金鑰大小小於 2048 位元的 RSA 來產生數位簽章。安裝此更新之後,在 FIPS 模式下 ssh-keygen 不會再產生小於 2048 位元的金鑰。不過,由於相容性的原因,sshd 服務會接受 1024 位元大小的金鑰以及更大的金鑰。(BZ#993580)

* 之前,openssh 公用程式不正確地將其所有子處理程序的 oom_adj 值設定為 -17。此行為錯誤,因為子處理程序應將此值設為 0。此更新會套用修補程式以修正此錯誤,所有子處理程序的 oom_adj 現在可如預期正確設為 0。(BZ#1010429)

* 之前,如果 sshd 服務無法驗證使用 fipscheck 程式庫之已安裝 FIPS 模組的總和檢查碼,則只會在 sshd 標準錯誤輸出時提供有關此失敗的資訊。因此,系統未正確針對 FIPS 模式設定時,使用者無法注意到此訊息,而且不會收到通知。為了修正此錯誤,此行為已變更,且 sshd 現在可透過 syslog 服務傳送此類訊息。(BZ#1020803)

* 使用 'ssh-add -e' 命令,從 ssh 代理程式中移除 pkcs11 程式庫所提供的金鑰時,系統便會提示使用者輸入 PIN。此更新已套用修補程式,以允許使用者沒有 PIN 就能移除 pkcs11 所提供的金鑰。(BZ#1042519)

此外,此更新還新增了下列增強功能:

* 透過此更新,OpenSSH 已新增至 ControlPersist。與 ControlMaster 組態指示詞連結的選項指定初次用戶端連線已關閉後,主要連線在幕後中仍處於開啟狀態。(BZ#953088)

* 當 sshd 程序設為強制內部 SFTP 工作階段,而且使用者嘗試使用 SFTP 以外的連線時,系統會將相關訊息記錄至 /var/log/secure 檔案。
(BZ#997377)

* 依 RFC5656 所指定金鑰交換 (ECDH) 和主機使用者金鑰 (ECDSA) 的橢圓曲線密碼編譯模式支援已新增至 openssh 套件。不過,它們預設為停用,使用者需要手動將其啟用。如需有關如何以 OpenSSH 設定 ECDSA 和 ECDH 的詳細資訊,請參閱:
https://access.redhat.com/solutions/711953 (BZ#1028335)

建議所有 openssh 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式,並新增這些增強功能。

解決方案

更新受影響的 openssh 套件。

另請參閱

http://www.nessus.org/u?cc014a58

Plugin 詳細資訊

嚴重性: Medium

ID: 79184

檔案名稱: centos_RHSA-2014-1552.nasl

版本: 1.15

類型: local

代理程式: unix

已發布: 2014/11/12

已更新: 2021/1/4

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure

風險資訊

VPR

風險因素: Low

分數: 3.7

CVSS v2

風險因素: Medium

基本分數: 5.8

時間分數: 4.3

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2014-2532

CVSS v3

風險因素: Medium

基本分數: 4.9

時間分數: 4.3

媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:centos:centos:openssh, p-cpe:/a:centos:centos:openssh-askpass, p-cpe:/a:centos:centos:openssh-clients, p-cpe:/a:centos:centos:openssh-ldap, p-cpe:/a:centos:centos:openssh-server, p-cpe:/a:centos:centos:pam_ssh_agent_auth, cpe:/o:centos:centos:6

必要的 KB 項目: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/10/20

弱點發布日期: 2014/3/18

參考資訊

CVE: CVE-2014-2532, CVE-2014-2653

BID: 66355, 66459

RHSA: 2014:1552