我正在我的服务器上传递一些Trustwave PCI扫描,从OpenSSH CVEs开始。
下面是我的工作:
root@host [~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
root@host [~]# cat /proc/version
Linux version 2.6.32-042stab116.2 (root@kbuild-rh6-x64.eng.sw.ru) (gcc version 4 .4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Jun 24 15:33:57 MSK 2016为了确认某些CVE问题已经安装了适当的修补程序,我一直在不断地查看变更量。我已证实已处理了下列事项:
root@host [~]# rpm -q --changelog openssh | grep 'CVE'
- CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817)
- CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048)
- CVE-2015-5352: XSECURITY restrictions bypass under certain conditions
- CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices
- CVE-2015-6563: Privilege separation weakness related to PAM support
- CVE-2015-6564: Use-after-free bug related to PAM support
- prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653
- ignore environment variables with embedded '=' or '\0' characters CVE-2014-2532
- change default value of MaxStartups - CVE-2010-5107 - #908707
- fixed audit log injection problem (CVE-2007-3102)
- CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
- CVE-2006-4924 - prevent DoS on deattack detector (#207957)
- CVE-2006-5051 - don't call cleanups from signal handler (#208459)
- use fork+exec instead of system in scp - CVE-2006-0225 (#168167)但是,以下CVEs --它们在扫描中显示为漏洞--没有显示在更改日志中。
CVE-2015-8325
CVE-2016-10009
CVE-2016-10012
CVE-2016-0777
CVE-2016-10010
CVE-2016-6515
所有这些都是在以下情况之后:
root@host [~]# yum update
Loaded plugins: fastestmirror
Setting up Update Process
Loading mirror speeds from cached hostfile
* base: mirrors.liquidweb.com
* centosplus: centos.mirrors.my2pro.com
* contrib: mirrors.tummy.com
* epel: mirror.compevo.com
* extras: repo1.sea.innoscale.net
* fasttrack: mirror.scalabledns.com
* updates: centos.mirror.lstn.net
No Packages marked for Update我在网上读到的所有内容都是说不要将OpenSSH更新到最新版本,因为所有东西都应该支持。然而,在我看来,我正在运行的版本并没有用适当的补丁进行更新。
我应该手动安装这些补丁,还是应该尝试安装最新版本的openssh?
发布于 2017-03-20 11:36:38
我应该手动安装这些补丁,还是应该尝试安装最新版本的openssh?
这取决于你在努力实现什么。
正如您所发现的,重要的CVEs在已经修复的包中。其他的可能不是,因为它们在支持的配置中是不可利用的,或者影响并不严重。这就是为什么CVE数字有他们的描述和影响。如果你四处搜索,你会看到为什么它是支持还是没有支持到RHEL6。
在某些情况下,将OpenSSH更新到当前版本可能是有意义的,但与系统其他部分的互操作性可能会中断,在某些情况下,您可能会获得更糟的用户体验或安全性。您也不会从Red获得更多的补丁和安全更新。在这种情况下,您需要遵循上游版本,手动更新,并可能添加在Red包中使用的补丁,以获得类似的用户体验和安全性。
https://security.stackexchange.com/questions/154329
复制相似问题