Se um banco de dados CVE listar minha versão do OpenSSH como vulnerável, é possível que ele tenha sido corrigido, mas retenha o número da versão?

6

Estou usando o OpenSSH versão 7.4p1, no banco de dados CVE, descobri que cpe: / a: openbsd: openssh: 7.4: p1 é vulnerável a CVE-2017-15906 link .

Isso significa que, com certeza, minha versão foi afetada ou é possível que essa versão tenha o mesmo número, mas já tenha sido corrigida? Como posso verificar isso?

    
por user187205 03.07.2018 / 22:07

4 respostas

11

O CentOS é apenas o RHEL reconstruído para que seu sistema esteja seguro, se você atualizou para openssh-7.4p1-16.el7 ou similar que é enviado no CentOS 7.

Existe um banco de dados CVE no portal de acesso da Red Hat:

link

Com links para as erratas que corrigem os problemas e com a listagem de pacotes que corrigem o problema específico:

link

Da mesma forma, você pode obter o changelog do seu pacote instalado e listar algo relacionado a este número CVE.

Discaimer: Eu estava consertando esse pacote nesta versão do RHEL.

    
por 03.07.2018 / 23:02
7

Foi corrigido em 7.4p1-16, em novembro de 2017.

$ rpm -q openssh-server
openssh-server-7.4p1-16.el7.x86_64
$ rpm -q --changelog openssh-server | grep CVE-2017-15906
- Fix for CVE-2017-15906 (#1517226)
$ rpm -q --changelog openssh-server | head
* Fri Nov 24 2017 Jakub Jelen <[email protected]> - 7.4p1-16 + 0.10.3-2
- Fix for CVE-2017-15906 (#1517226)

* Mon Nov 06 2017 Jakub Jelen <[email protected]> - 7.4p1-15 + 0.10.3-2
- Do not hang if SSH AuthorizedKeysCommand output is too large (#1496467)
- Do not segfault pam_ssh_agent_auth if keyfile is missing (#1494268)
- Do not segfault in audit code during cleanup (#1488083)
- Add WinSCP 5.10+ compatibility (#1496808)
- Clatch between ClientAlive and rekeying timeouts (#1480510)
- Exclude dsa and ed25519 from default proposed keys in FIPS mode (#1456853)
$
    
por 03.07.2018 / 23:16
2

O OpenSSH 7.4p1 é afetado pela CVE -2017-15906 .

... a menos que o distribuidor do pacote OpenSSH tenha feito o patch.

Um exemplo de um distribuidor que corrige este CVE específico em um pacote afetado do OpenSSH pode ser encontrado nesta entrada changelog para 7.5p1 no Ubuntu (eles não distribuíram um 7.4p1 corrigido até onde eu pude ver depois de uma breve olhada):

openssh (1:7.5p1-10ubuntu0.1) artful-security; urgency=medium
  * SECURITY UPDATE: DoS via zero-length file creation in readonly mode
    - debian/patches/CVE-2017-15906.patch: disallow creation of empty files
      in sftp-server.c.
    - CVE-2017-15906

 -- Marc Deslauriers <[email protected]>  Tue, 16 Jan 2018 08:28:47 -0500

Da mesma forma para o Fedora (7.4p1) .

Infelizmente, o CentOS parece não ter um banco de dados facilmente acessível de atualizações de pacotes (que pude encontrar).

    
por 03.07.2018 / 22:21
1

De acordo com o bugzilla , o bug de segurança é corrigido na versão 7.6 do sistema. no RHEL 7:

Fixed In Version: openssh 7.6

A descrição no RHEL CVE-2017-15906

The process_open function in sftp-server.c in OpenSSH before 7.6 does not properly prevent write operations in readonly mode, which allows attackers to create zero-length files.

Além disso, esta informação está disponível na openssh 7.6 nota de lançamento

Changes since OpenSSH 7.5

Security

  • sftp-server(8): in read-only mode, sftp-server was incorrectly permitting creation of zero-length files. Reported by Michal Zalewski.

O bug foi corrigido em 10 de abril de 2018 para a segurança% open_de_aa% openssh correção de bug e atualização de melhorias

    
por 03.07.2018 / 23:02