CentOS, OpenSSH, PCI, CVE-2016-10009

Navegue suas respostas
5

A TrustWave tornou-se um pouco melhor em acomodar o CentOS em suas varreduras - agora eu posso pelo menos selecionar "Eu tenho backported software" quando eu registrar uma disputa. Mas eles ainda estão oferecendo excelente segurança no trabalho, exigindo horas de dedicação e clicando no site todos os meses.

Agora à minha pergunta. O CVE-2016-10009 não foi corrigido pelo pessoal do RHEL, e há nenhuma correção direta disponível para o CentOS. Na resposta da TrustWave à minha disputa inicial, há esta nota:

Since this finding affects PCI DSS Compliance, it does need to be confirmed to have been addressed in some fashion. The requirements as listed within the scan report are to upgrade the system or utilize the compensating controls mentioned (such as never loading PKCS#11 modules from paths outside a trusted whitelist (run-time configurable)).

O patch mais recente do OpenSSH foi corrigido para o OpenSSH 7.3 e não está claro para mim se essa vulnerabilidade em particular será abordada. O "controle de compensação" que é mencionado - permitindo apenas módulos na lista de permissões - é exatamente a correção que foi colocada na versão 7.4, então isso não é útil, e o relatório de verificação não lista nada.

Por isso, estou procurando uma alteração de configuração que satisfaça o scanner, mas não consegui encontrar um. Aqui está uma explicação decente sobre o assunto. Existe algo que eu possa fazer? Desativar o PKCS # 11 ao todo?

    
por cdonner 25.01.2017 / 21:47

2 respostas

4

Esta é uma vulnerabilidade onde um servidor ssh malicioso pode atacar o cliente se o cliente estiver conectado com o encaminhamento ssh-agent, e de alguma forma conseguiu um arquivo malicioso instalado no sistema de arquivos do cliente.

Eu também acho que a TrustWave superestimou muito a importância deste problema.

Dito isso, a solução óbvia é desabilitar o encaminhamento do agente em /etc/ssh/sshd_config . 

AllowAgentForwarding no

Lembre-se de que, se o servidor estiver comprometido, o invasor poderá simplesmente removê-lo e esperar que os administradores desafortunados se conectem a seus agentes. Então, é uma solução ridícula.

    
por 25.01.2017 / 22:15
0

Eu acredito que esta questão é discutível.

Entendo que o Trustwave analisou a vulnerabilidade e ajustou sua classificação de CVSS / gravidade para que a descoberta não seja mais uma falha de PCI.

(Também vale a pena repetir que AllowAgentForwarding no é um arenque tolo. É uma configuração do lado do servidor, e esta é uma vulnerabilidade do lado do cliente.)

    
por 20.04.2017 / 17:15

Tags

Como identificar qual cliente NFS gera o disco IO? Construir o espelhamento no topo do cluster SQL2008R2 SQL