Wenn in einer CVE-Datenbank meine Version von OpenSSH als anfällig aufgeführt ist, ist es möglich, dass sie gepatcht wurde, aber die Versionsnummer beibehält?

7

Ich verwende OpenSSH Version 7.4p1. In der CVE-Datenbank stellte ich fest, dass cpe: / a: openbsd: openssh: 7.4: p1 für CVE-2017-15906 anfällig ist. Https://www.cvedetails.com/cve/CVE-2017- 15906 / .

Bedeutet dies, dass meine Version sicher betroffen ist, oder ist es möglich, dass diese Version dieselbe Nummer hat, aber bereits gepatcht ist? Wie kann ich das überprüfen?

user187205
quelle
Das ist möglich. Welches Betriebssystem verwenden Sie?
Jordan
Ich verwende CentOS Linux
user187205
1
Wenn es sich um CentOS handelt (oder um RHEL, worauf CentOS basiert), ist es nahezu sicher, dass sich die Versionsnummer nicht ändert, wenn etwas gepatcht wird. Eine Erklärung, warum dies hier nicht möglich ist.
Austin Hemmelgarn

Antworten:

11

CentOS wird nur RHEL neu erstellt, damit Ihr System sicher ist, wenn Sie ein Update auf openssh-7.4p1-16.el7oder ein ähnliches System durchgeführt haben, das in CentOS 7 geliefert wird .

Im Red Hat-Zugriffsportal befindet sich eine CVE-Datenbank:

https://access.redhat.com/security/cve/cve-2017-15906

Mit Links zu den Erratas, die die Probleme beheben, und mit einer Liste von Paketen, die das spezifische Problem beheben:

https://access.redhat.com/errata/RHSA-2018:0980

Ebenso können Sie das Änderungsprotokoll Ihres installierten Pakets abrufen und es sollte etwas auflisten, das mit dieser CVE-Nummer zusammenhängt.

Discaimer: Ich habe dieses Paket in dieser RHEL-Version repariert.

Jakuje
quelle
7

Wurde im November 2017 in 7.4p1-16 behoben.

$ rpm -q openssh-server
openssh-server-7.4p1-16.el7.x86_64
$ rpm -q --changelog openssh-server | grep CVE-2017-15906
- Fix for CVE-2017-15906 (#1517226)
$ rpm -q --changelog openssh-server | head
* Fri Nov 24 2017 Jakub Jelen <[email protected]> - 7.4p1-16 + 0.10.3-2
- Fix for CVE-2017-15906 (#1517226)

* Mon Nov 06 2017 Jakub Jelen <[email protected]> - 7.4p1-15 + 0.10.3-2
- Do not hang if SSH AuthorizedKeysCommand output is too large (#1496467)
- Do not segfault pam_ssh_agent_auth if keyfile is missing (#1494268)
- Do not segfault in audit code during cleanup (#1488083)
- Add WinSCP 5.10+ compatibility (#1496808)
- Clatch between ClientAlive and rekeying timeouts (#1480510)
- Exclude dsa and ed25519 from default proposed keys in FIPS mode (#1456853)
$
Steve
quelle
1
praktischer Tipp - grep -A20für "zwanzig Zeilen Anach einem Match" (und seine Freunde, -Bvor und nach dem -CText)
Riking
2

OpenSSH 7.4p1 ist von CVE-2017-15906 betroffen .

... es sei denn, der Distributor dieses OpenSSH-Pakets hat es gepatcht.

Ein Beispiel für einen Distributor, der dieses bestimmte CVE in einem betroffenen OpenSSH-Paket patcht , finden Sie in diesem Änderungsprotokolleintrag für 7.5p1 unter Ubuntu (er hat kein gepatchtes 7.4p1 verteilt, soweit ich es nach einem kurzen Blick sehen konnte):

openssh (1:7.5p1-10ubuntu0.1) artful-security; urgency=medium
  * SECURITY UPDATE: DoS via zero-length file creation in readonly mode
    - debian/patches/CVE-2017-15906.patch: disallow creation of empty files
      in sftp-server.c.
    - CVE-2017-15906

 -- Marc Deslauriers <[email protected]>  Tue, 16 Jan 2018 08:28:47 -0500

Ähnliches gilt für Fedora (7.4p1) .

Leider scheint CentOS keine leicht zugängliche Datenbank mit Paketaktualisierungen zu haben (die ich finden konnte).

Kusalananda
quelle
1

Laut Bugzilla ist der Sicherheitsfehler in der 7.6auf RHEL 7 basierenden Version des Systems behoben :

In Version behoben: openssh 7.6

Die Beschreibung auf RHEL CVE-2017-15906

Die Funktion process_open in sftp-server.c in OpenSSH vor 7.6 verhindert Schreibvorgänge im schreibgeschützten Modus nicht ordnungsgemäß, sodass Angreifer Dateien mit der Länge Null erstellen können.

Auch diese Informationen sind auf der verfügbaren OpenSSH 7.6 Release-Info

Änderungen seit OpenSSH 7.5

Sicherheit

  • SFTP-Server (8): Im schreibgeschützten Modus erlaubte der SFTP-Server fälschlicherweise die Erstellung von Dateien mit der Länge Null. Berichtet von Michal Zalewski.

Der Fehler wurde am 10. April 2018 behoben für openssh-7.4p1: openssh-Sicherheit, Fehlerbehebung und Erweiterungsupdate

GAD3R
quelle
1
wahrscheinlich gibt es einen schlechten ersten link? Wie auch immer, es gibt keine OpenSSh 7.6 in RHEL / CentOS
Jakuje
2
Dies beantwortet jedoch immer noch nicht die Frage, ob die Version 7.4 in Centos anfällig ist oder nicht. Ich werde dich nicht länger warten lassen. Sehen Sie einfach meine Antwort, die dieses Geheimnis für Sie enthüllt :)
Jakuje