Eu encontrei este artigo no blog que listou as etapas para instalar manualmente o OpenSSH 6.7. Eu segui as instruções, usando o OpenSSH 6.9 .
A conformidade com a PCI falhará quando o CVE-2015-5352 vulnerabilidade está presente. O OpenSSH 6.9 corrige esta vulnerabilidade, mas nenhuma das versões suportadas do Ubuntu (12.04, 14.04, 15.04 e 15.10) tem foi corrigido .
Qual é a melhor maneira de lidar com essa vulnerabilidade?
Eu encontrei este artigo no blog que listou as etapas para instalar manualmente o OpenSSH 6.7. Eu segui as instruções, usando o OpenSSH 6.9 .
Estou com o mesmo problema. Enquanto aguardo uma correção do Ubuntu eu também decidi que este é um problema que gostaria de abordar com o meu CSA; pela seguinte razão.
Se eu entendi o problema apresentado, o problema surge apenas se um usuário raiz no computador afetado tiver permissão para encaminhar conexões X11. No meu ambiente, os mesmos usuários-raiz nos computadores afetados têm acesso à raiz em qualquer sistema acessível a partir desse computador; portanto, se eles conduzissem atividades maliciosas, essa vulnerabilidade em potencial não ajudaria nem atrapalharia esse usuário.
Em segundo lugar, se o problema depender da capacidade de encaminhar conexões X11, então não deve desabilitar esse recurso com "ForwardX11Trusted no" e "ForwardX11Timeout 0" como uma correção de configuração apropriada? Esta é minha configuração atual e como não tenho instalações X11, parece se encaixar.
Esta é uma pesquisa muito ruim por parte de quem adicionou esse problema aos scanners de conformidade com PCI. Nas minhas varreduras, o problema é descrito como o seguinte:
Sinopse
O servidor SSH em execução no host remoto é afetado por vários vulnerabilidades.
Descrição
De acordo com o banner, a versão do OpenSSH em execução no remoto host é anterior a 6.9. É, portanto, afetado pelos seguintes vulnerabilidades:
Existe uma falha dentro da função x11_open_helper () no 'channels.c' arquivo que permite que as conexões sejam permitidas depois 'ForwardX11Timeout' expirou. Um atacante remoto pode explorar isso para Ignorar verificações de tempo limite e restrições XSECURITY. (CVE-2015-5352)
Vários problemas foram resolvidos corrigindo-se a fragilidade do bloqueio de agente aumentando o atraso de falha, armazenando o hash salgado do senha e usando uma função de comparação segura.
Existe um erro de leitura fora dos limites ao manipular um padrão incorreto comprimentos. Um atacante remoto pode explorar isso para causar uma negação de serviço ou divulgar informações confidenciais na memória.
Existe um erro de leitura fora dos limites ao analisar o 'EscapeChar' opção de configuração.
Recomendação
Atualize para o OpenSSH 6.9 ou posterior.
Vamos dividi-lo:
Existe uma falha na função x11_open_helper () ( CVE-2015- 5352 )
Esta vulnerabilidade é aquela que afeta os clientes SSH , não os servidores SSH (desc) . Um cliente SSH com um ambiente X fica vulnerável quando se conecta a um servidor SSH mal-intencionado usando o encaminhamento do X11. O scanner está escaneando inerentemente servidores não clientes ... Na maioria dos casos, o X não será instalado no servidor remoto e as conexões serão feitas apenas em servidores confiáveis. cenário que esta vulnerabilidade requer é impossível de replicar.
Vários problemas foram resolvidos corrigindo-se a fragilidade do bloqueio de agente
Novamente, o ssh-agent é um programa cliente , portanto, esse bug não afeta a segurança do servidor que está sendo varrido e o upgrade para o OpenSSH 6.9 não faria nada para evitar que isso fosse explorado, a menos que o servidor estivesse já comprometido e sendo usado para acessar outras máquinas usando o ssh-agent.
Existe um erro de leitura fora dos limites ao lidar com comprimentos de padrão incorretos
Examinar o código-fonte revela que o código que contém o bug não está presente no OpenSSH 6.6 e que o bug do OpenSSH 6.8 não é aplicável. O patch altera como o método match_pattern_list() é usado, mas esse método não existe no OpenSSH 6.6.
Existe um erro de leitura fora dos limites ao analisar a opção de configuração 'EscapeChar'
Este bug está relacionado apenas ao programa 'ssh' cliente linha de comando ou análise de arquivo de configuração, não o servidor sshd e, portanto, não tem nada a ver com um sistema privado que está executando o sshd. Além disso, isso está listado nas Notas de versão como um bug, e não como uma questão de segurança, por isso duvido que possa faça qualquer coisa mais do que simplesmente causar um segfault na máquina cliente se parâmetros incorretos forem usados.
Atualize para o OpenSSH 6.9 ou posterior.
Então, em resumo, por causa de todos esses problemas cliente , você deve atualizar seu servidor para o OpenSSH 6.9. Considerando que a maioria das distribuições ainda não suporta 6.9, este é um conselho absolutamente idiota. Meu conselho é continuar executando o OpenSSH mais recente que é suportado pela sua distro usando os repositórios padrão e de segurança com correções backport que são realmente aplicáveis em vez de manter suas próprias construções do OpenSSH apenas porque o scanner PCI disse isso.