Рекомендация Debian по безопасности

DSA-3446-1 openssh -- обновление безопасности

Дата сообщения:
14.01.2016
Затронутые пакеты:
openssh
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 810984.
В каталоге Mitre CVE: CVE-2016-0777, CVE-2016-0778.
Более подробная информация:

Команда безопасности Qualys обнаружила две уязвимости в коде для автоматической настройки сети в клиенте OpenSSH (реализации набора протоколов SSH).

Автоматическая настройка сети в SSH позволяет клиенту в том случае, если соединение SSH неожиданно прерывается, восстановить его, учитывая, что это также поддерживается сервером.

Сервер OpenSSH не поддерживает автоматическую настройку сети, но клиент OpenSSH поддерживает её (несмотря на то, что об этом ничего нет в документации), и она включена по умолчанию.

  • CVE-2016-0777

    Утечка информации (раскрытие содержимого памяти) может использоваться злоумышленником, владеющим сервером SSH, для того, чтобы получить из памяти клиента чувствительных данных, включая, например, закрытые ключи.

  • CVE-2016-0778

    Переполнение буфера (приводящее к утечке файлового дескриптора) может использоваться злоумышленником, владеющим сервером SSH, но из-за другой ошибки в коде, эту уязвимость нельзя использовать. Эта уязвимость может использоваться лишь при определённых условиях (не при использовании настроек по умолчанию). В частности, при использовании ProxyCommand, ForwardAgent или ForwardX11.

Данное обновление безопасности полностью отключает код для автоматической настройки сети в клиенте OpenSSH.

Кроме того, обновление отключает автоматическую настройку сети путём добавления (недокументированной) опции UseRoaming no в глобальный файл настройки /etc/ssh/ssh_config, либо в пользовательские настройки в ~/.ssh/config, либо же передавая -oUseRoaming=no в командной строке.

Пользователям с закрытыми ключами, не защищёнными паролями, в особенности в случае, если используются настройки без интерактивного режима (автоматизированные задачи, использующие ssh, scp, rsync+ssh и т. д.) рекомендуется обновить свои ключи в том случае, если они подключаются к серверу SSH, которому они не доверяют.

Дополнительные сведения об определении этой атаки и способов её недопущения будут доступны в рекомендации по безопасти Qualys.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1:6.0p1-4+deb7u3.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1:6.7p1-5+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эти проблемы будут исправлены в более поздней версии.

Рекомендуется обновить пакеты openssh.