Debians sikkerhedsbulletin

DSA-3446-1 openssh -- sikkerhedsopdatering

Rapporteret den:
14. jan 2016
Berørte pakker:
openssh
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 810984.
I Mitres CVE-ordbog: CVE-2016-0777, CVE-2016-0778.
Yderligere oplysninger:

Qualys Security-holdet opdagede to sårbarheder i roamingkoden i OpenSSH-klienten (en implementering af SSH-protokolsuiten).

SSH-roaming gør det muligt for en klient, i tilfælde af at SSH-forbindelsen afbrydes uventet, at genoptage den senere, forudsat at serveren også understøtter det.

OpenSSH-serveren understøtter ikke roaming, men OpenSSH-klienten understøtter det (selv om det ikke er dokumenteret) og det er aktiveret som standard.

  • CVE-2016-0777

    En informationslækage (hukommelseafsløring) kunne udnyttes af en skrupelløs SSH-server til at narre klienten til at lække følsomme data fra klienthukommelsen, herunder eksempelvis private nøgler.

  • CVE-2016-0778

    Et bufferoverløb (førende til fildeskriptorlækage), kunne også udnyttes af en skrupelløs SSH-server, men på grund af en anden fejl i koden, er det muligvis ikke udnytbart, og kun under visse omstændigheder (ikke i standardopsætningen), når man anvender ProxyCommand, ForwardAgent eller ForwardX11.

Denne sikkerhedsopdatering deaktiverer roamingkoden fuldstændig i OpenSSH-klienten.

Det er også muligt at deaktivere roaming ved at tilføje valgmuligheden (udokumenteret) UseRoaming no til den globale fil /etc/ssh/ssh_config, eller til brugeropsætningen i ~/.ssh/config, eller ved at angive -oUseRoaming=no på kommandolinjen.

For brugere med private nøgler uden en passphrase, særligt i ikke-interaktive opsætninger (automatisk job som anvender ssh, scp, rsync+ssh, osv.) anbefales det at opdatere deres nøgler, hvis de er forbundet til en SSH-server, som de ikke har tillid til.

Flere oplysninger om identificering af et angreb og hvordan man dæmper virkningen, vil blive gjort tilgængelige i Qualys Securitys bulletin.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1:6.0p1-4+deb7u3.

I den stabile distribution (jessie), er disse problemer rettet i version 1:6.7p1-5+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), vil disse problemer blive rettet i en senere version.

Vi anbefaler at du opgraderer dine openssh-pakker.