CentOS、OpenSSH、PCI、CVE-2016-10009
TrustWaveは、CentOSのスキャンへの対応が少し良くなりました。異議を申し立てるときに、少なくとも「ソフトウェアをバックポートしました」を選択できるようになりました。しかし、彼らは毎月何時間もの骨の折れるポインティングと彼らのウェブサイトをクリックを必要とすることによって、依然として優れた雇用保障を提供しています。
さて、私の質問です。 CVE-2016-10009はRHELの人々によってパッチが適用されておらず、CentOSには 直接修正はありません があります。私の最初の論争に対するTrustWaveの応答には、次の注記があります。
この調査結果はPCI DSSコンプライアンスに影響するため、何らかの方法で対処されていることを確認する必要があります。スキャンレポートに記載されている要件は、システムをアップグレードするか、前述の補正コントロールを利用することです。 (信頼できるホワイトリスト(実行時に構成可能)の外部のパスからPKCS#11モジュールをロードしないなど)。
最新のOpenSSHパッチには、OpenSSH 7.3にバックポートされた修正が含まれており、この特定の脆弱性が解決されるかどうかは私にはわかりません。言及されている「補正制御」(ホワイトリストに登録されたモジュールのみを許可する)は、7.4で行われた修正とまったく同じであるため、これは役に立ちません。スキャンレポートには何も表示されません。
そのため、スキャナーを満足させる構成変更を探していますが、見つかりませんでした。 ここにまともな説明があります 問題の。何かできることはありますか? PKCS#11を完全に無効にしますか?
これは、悪意のあるssh serverが攻撃する可能性がある脆弱性ですclientクライアントがssh-agent転送に接続している場合、andクライアントのファイルシステムにインストールされた悪意のあるファイル。
また、TrustWaveはこの問題の重要性を大幅に過大評価していると思います。
とはいえ、明らかな回避策は、/etc/ssh/sshd_configでエージェント転送を無効にすることです。
AllowAgentForwarding no
サーバーが危険にさらされた場合、攻撃者はそれを削除して、不幸な管理者がエージェントに接続するのを待つことができることに注意してください。だから、それは一種のばかげた回避策です。
この問題は議論の余地があると思います。
Trustwaveが脆弱性を確認し、CVSS /重大度のランク付けを調整して、検出結果がPCIの失敗ではなくなったことを理解しています。
(それを繰り返すことにも耐えますAllowAgentForwarding noはばかげた赤いニシンです。これはサーバー側の構成であり、これはクライアント側の脆弱性です。)