AIX OpenSSH 公告:openssh_advisory6.asc
medium Nessus Plugin ID 86656
語系:
概要
遠端 AIX 主機安裝的 OpenSSH 版本受到多個弱點影響。說明
遠端 AIX 主機安裝的 OpenSSH 版本受到下列弱點影響:- 處理 MONITOR_REQ_PAM_INIT_CTX 要求中額外的使用者名稱資料時,在監控元件中存在一個瑕疵。本機攻擊者可惡意利用此問題,透過傳送可利用任何 SSH 登入存取權搭配 sshd UID 控制項的特製 MONITOR_REQ_PWNAM 要求,進行模擬攻擊。(CVE-2015-6563)
- 處理 MONITOR_REQ_PAM_FREE_CTX 要求時,在 monitor.c 檔案的 mm_answer_pam_free_ctx() 函式中存在一個釋放後使用錯誤。本機攻擊者可惡意利用此錯誤,利用 sshd UID 的控制項提早傳送未預期的 MONITOR_REQ_PAM_FREE_CTX 要求,藉此取得提升的權限。
(CVE-2015-6564)
解決方案
現已提供修正,可從 AIX 網站下載。另請參閱
https://aix.software.ibm.com/aix/efixes/security/openssh_advisory6.asc
https://www-01.ibm.com/marketing/iwm/iwm/web/preLogin.do?source=aixbp
Plugin 詳細資訊
嚴重性: Medium
ID: 86656
檔案名稱: aix_openssh_advisory6.nasl
版本: 1.11
類型: local
已發布: 2015/10/29
已更新: 2023/4/21
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Medium
基本分數: 6.9
時間分數: 5.1
媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: cpe:/o:ibm:aix:5.3, cpe:/o:ibm:aix:6.1, cpe:/o:ibm:aix:7.1, cpe:/a:openbsd:openssh
必要的 KB 項目: Host/AIX/lslpp, Host/local_checks_enabled, Host/AIX/version
修補程式發佈日期: 2015/10/21
弱點發布日期: 2015/8/11
參考資訊
CVE: CVE-2015-6563, CVE-2015-6564
BID: 76317