Рекомендация Debian по безопасности

DLA-387-1 openssh -- обновление безопасности LTS

Дата сообщения:
14.01.2016
Затронутые пакеты:
openssh
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 810984.
В каталоге Mitre CVE: CVE-2016-0777, CVE-2016-0778.
Более подробная информация:

Команда Qualys Security обнаружила две уязвимости в коде автоматической настройки сети в клиенте OpenSSH (реализации набора протоколов SSH).

Автоматическая настройка сети SSH позволяет клиенту в случаях, когда SSH-соединение прерывается неожиданно, восстанавливать его при условии того, что сервер тоже поддерживает эту возможность.

Сервер OpenSSH не поддерживает автоматическую настройку сети, а клиент OpenSSH поддерживает эту возможность (даже несмотря на то, что она не описана в документации), в клиенте она включена по умолчанию.

  • CVE-2016-0777

    Утечка информации (раскрытие содержимого памяти) может использоваться SSH-сервером злоумышленника для того, чтобы клиент передал чувствительные данные из клиентской памяти, включая закрытые ключи.

  • CVE-2016-0778

    Переполнение буфера (приводящее к утечке файловых дескрипторов) может использоваться SSH-сервером злоумышленника, но из-за другой ошибки в коде оно, вероятно, может использоваться только при определённых условиях (не при настройках по умолчанию) при использовании ProxyCommand, ForwardAgent или ForwardX11.

Данное обновление безопасности полностью отключает код автоматической настройки сети в клиенте OpenSSH.

Кроме того, автоматическую настройку можно отключить, добавив (не описанную в документации) опцию UseRoaming no в глобальный файл /etc/ssh/ssh_config, либо в пользовательские настройки в ~/.ssh/config, либо передав -oUseRoaming=no в командной строку.

Пользователям, использующим закрытые ключи без паролей, особенно при неинтерактивной настройке (автоматические задачи, использующие ssh, scp, rsync+ssh и т. д.), рекомендуется обновить свои ключи в том случае, если они подключались к SSH-серверу, которому они не доверяют.

Дополнительную информацию об определении атак этого вида и средствах минимазации рисков можно найти в рекомендации по безопасности Qualys.