首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >为什么在检查更新时没有更新一些OpenSSH CVE修补程序?

为什么在检查更新时没有更新一些OpenSSH CVE修补程序?
EN

Security用户
提问于 2017-03-20 04:19:44
回答 1查看 693关注 0票数 3

我正在我的服务器上传递一些Trustwave PCI扫描,从OpenSSH CVEs开始。

下面是我的工作:

代码语言:javascript
复制
root@host [~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
root@host [~]# cat /proc/version
Linux version 2.6.32-042stab116.2 (root@kbuild-rh6-x64.eng.sw.ru) (gcc version 4                 .4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Jun 24 15:33:57 MSK 2016

为了确认某些CVE问题已经安装了适当的修补程序,我一直在不断地查看变更量。我已证实已处理了下列事项:

代码语言:javascript
复制
root@host [~]# rpm -q --changelog openssh | grep 'CVE'

 - CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817)
 - CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048)
 -  CVE-2015-5352: XSECURITY restrictions bypass under certain conditions
 -  CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices
 -  CVE-2015-6563: Privilege separation weakness related to PAM support
 -  CVE-2015-6564: Use-after-free bug related to PAM support
 - prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653
 - ignore environment variables with embedded '=' or '\0' characters CVE-2014-2532
 - change default value of MaxStartups - CVE-2010-5107 - #908707
 - fixed audit log injection problem (CVE-2007-3102)
 - CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
 - CVE-2006-4924 - prevent DoS on deattack detector (#207957)
 - CVE-2006-5051 - don't call cleanups from signal handler (#208459)
 - use fork+exec instead of system in scp - CVE-2006-0225 (#168167)

但是,以下CVEs --它们在扫描中显示为漏洞--没有显示在更改日志中。

CVE-2015-8325

CVE-2016-10009

CVE-2016-10012

CVE-2016-0777

CVE-2016-10010

CVE-2016-6515

所有这些都是在以下情况之后:

代码语言:javascript
复制
root@host [~]# yum update

Loaded plugins: fastestmirror

Setting up Update Process

Loading mirror speeds from cached hostfile

 * base: mirrors.liquidweb.com

 * centosplus: centos.mirrors.my2pro.com

 * contrib: mirrors.tummy.com

 * epel: mirror.compevo.com

 * extras: repo1.sea.innoscale.net

 * fasttrack: mirror.scalabledns.com

 * updates: centos.mirror.lstn.net

No Packages marked for Update

我在网上读到的所有内容都是说不要将OpenSSH更新到最新版本,因为所有东西都应该支持。然而,在我看来,我正在运行的版本并没有用适当的补丁进行更新。

我应该手动安装这些补丁,还是应该尝试安装最新版本的openssh?

EN

回答 1

Security用户

发布于 2017-03-20 11:36:38

我应该手动安装这些补丁,还是应该尝试安装最新版本的openssh?

这取决于你在努力实现什么。

正如您所发现的,重要的CVEs在已经修复的包中。其他的可能不是,因为它们在支持的配置中是不可利用的,或者影响并不严重。这就是为什么CVE数字有他们的描述和影响。如果你四处搜索,你会看到为什么它是支持还是没有支持到RHEL6。

在某些情况下,将OpenSSH更新到当前版本可能是有意义的,但与系统其他部分的互操作性可能会中断,在某些情况下,您可能会获得更糟的用户体验或安全性。您也不会从Red获得更多的补丁和安全更新。在这种情况下,您需要遵循上游版本,手动更新,并可能添加在Red包中使用的补丁,以获得类似的用户体验和安全性。

票数 1
EN
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://security.stackexchange.com/questions/154329

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档