OpenSSH CVEから始めて、サーバーでいくつかのTrustwave PCIスキャンをパスするように取り組んでいます。
これが私が取り組んでいるものです:
root@Host [~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
root@Host [~]# cat /proc/version
Linux version 2.6.32-042stab116.2 ([email protected]) (gcc version 4 .4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Jun 24 15:33:57 MSK 2016
特定のCVE問題に適切なパッチがインストールされていることを確認するために、変更ログを調べていました。次の問題が解決されていることを確認できました。
root@Host [~]# rpm -q --changelog openssh | grep 'CVE'
- CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817)
- CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048)
- CVE-2015-5352: XSECURITY restrictions bypass under certain conditions
- CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices
- CVE-2015-6563: Privilege separation weakness related to PAM support
- CVE-2015-6564: Use-after-free bug related to PAM support
- prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653
- ignore environment variables with embedded '=' or '\0' characters CVE-2014-2532
- change default value of MaxStartups - CVE-2010-5107 - #908707
- fixed audit log injection problem (CVE-2007-3102)
- CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
- CVE-2006-4924 - prevent DoS on deattack detector (#207957)
- CVE-2006-5051 - don't call cleanups from signal handler (#208459)
- use fork+exec instead of system in scp - CVE-2006-0225 (#168167)
ただし、スキャンの脆弱性として表示される次のCVEは、変更ログには表示されません。
CVE-2015-8325
CVE-2016-10009
CVE-2016-10012
CVE-2016-0777
CVE-2016-10010
CVE-2016-6515
このすべての後:
root@Host [~]# yum update
Loaded plugins: fastestmirror
Setting up Update Process
Loading mirror speeds from cached hostfile
* base: mirrors.liquidweb.com
* centosplus: centos.mirrors.my2pro.com
* contrib: mirrors.tummy.com
* epel: mirror.compevo.com
* extras: repo1.sea.innoscale.net
* fasttrack: mirror.scalabledns.com
* updates: centos.mirror.lstn.net
No Packages marked for Update
すべてをバックポートする必要があるため、私がオンラインで読んでいることはすべて、OpenSSHを最新バージョンに更新しないでくださいと言っています。ただし、実行しているバージョンが適切なパッチで更新されていないようです。
これらのパッチを手動でインストールする必要がありますか、それとも最新バージョンのopensshをインストールしてみますか?
これらのパッチを手動でインストールする必要がありますか、それとも最新バージョンのopensshをインストールしてみますか?
それはあなたが達成しようとしていることに依存します。
あなたが知っているように、重要なCVEはすでに修正されたパッケージに含まれています。その他は、サポートされている構成で悪用できないか、影響が深刻でないため、そうでない可能性があります。これが、CVE番号に説明と影響がある理由です。周りを検索すると、RHEL6にバックポートされた、またはバックポートされなかった理由の説明が表示されます。
OpenSSHを現在のバージョンに更新することは意味のある場合がありますが、システムの他の部分との相互運用性が損なわれる可能性があり、場合によってはユーザーエクスペリエンスやセキュリティが低下する可能性があります。また、Red Hatからのバグ修正とセキュリティアップデートはもう取得されません。この場合、上流のリリースに従い、手動で更新し、Red Hat OpenSSHパッケージで使用されるパッチを追加して、同様のユーザーエクスペリエンスとセキュリティを取得する必要があります。