web-dev-qa-db-ja.com

LibSSH認証バイパス

libsshによる最近のセキュリティの発表により( CVE-2018-109 )実行中のサービスのいずれかが脆弱なライブラリを使用しているかどうかを確認するにはどうすればよいですか?やがてyum upgradeシステムですが、今のところ、私が危険にさらされているかどうかを知るのはいいことです。 EC2でAmazon Linux 2AMIを使用しています。ありがとう!

5
I-P-X

libssh2を必要とするすべてのパッケージのリストをrpm -q --whatrequiresで取得できます。

私のAmazon Linux 2インスタンスでは、何も必要としないようです。

[root@ip-xx-xx-xx-xx ~]# rpm -q --whatrequires libssh2
no package requires libssh2

念のため、共有ライブラリを開いているすべてのプロセスを一覧表示してみてください。

[root@ip-xx-xx-xx-xx ~]# rpm -ql libssh2
/usr/lib64/libssh2.so.1
/usr/lib64/libssh2.so.1.0.1     <== this is the one
...
[root@ip-xx-xx-xx-xx ~]# fuser /usr/lib64/libssh2.so.1.0.1
(... empty output ...)
[root@ip-xx-xx-xx-xx ~]#

私のAmazon Linux 2 EC2では何もlibssh2を使用していないようです。 fuserrootとして、またはSudoとともに実行する必要があります。そうしないと、システムプロセスが表示されません。

それが役に立てば幸い:)

4
MLu

ここで説明する脆弱性は、ssh serverをlibsshコードを使用して実行するプログラムにのみ適用されます。実質的にすべてのVMで使用されるサーバーは、libsshを使用しないOpenSSHです。これはlibsshをsshクライアントとして使用するプログラムとは無関係です。

この脆弱性はlibssh2ではなくlibsshに存在します。これらは完全に異なり、無関係なパッケージです。

Libsshがインストールされていない場合、脆弱性はありません。システムにlibsshがインストールされていないため、脆弱ではありません。

Libsshがインストールされている場合でも、libsshを使用する代替SSHサーバーも実行している必要があります。あなたはこれをしていないので、あなたは脆弱ではありません。

5
Michael Hampton