Säkerhetsbulletin från Debian

DSA-3446-1 openssh -- säkerhetsuppdatering

Rapporterat den:
2016-01-14
Berörda paket:
openssh
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 810984.
I Mitres CVE-förteckning: CVE-2016-0777, CVE-2016-0778.
Ytterligare information:

Qualys säkerhetsgrupp upptäckte två sårbarheter i roamingkoden i OpenSSH-klienten (en implementation av SSH-protokolluppsättningen).

SSH roaming aktiverar att en klient, kan fortsätta vid ett senare tillfälle om en SSH-anslutning bryts oväntat, antaget att även servern stödjer det.

OpenSSH-servern stödjer inte roaming, med OpenSSH-klienten stödjer det (även om det inte är dokumenterat) och det är aktiverat som standard.

  • CVE-2016-0777

    Ett informationsläckage (avslöjande av minne) kan exploateras av en illasinnad SSH-server för att lura en klient till att läcka käsnlig data från klientminne, inklusive exempelvis privata nycklar.

  • CVE-2016-0778

    Ett buffertspill (som leder till läckage av filbeskrivare), kan även exploateras av en illasinnad SSH-server, men på grund av ett annat fel i koden är det möjligen inte exploaterbart, och då endast under vissa omständigheter (inte under standardkonfigurationen), vid använding av ProxyCommand, ForwardAgent eller ForwardX11.

Denna säkerhetsuppdatering inaktiverar roamingkoden i OpenSSH-klienten fullständigt.

Det är även möjligt att inakitvera roaming genom att lägga till (det odokumenterade) alternativet UseRoaming no till den globala /etc/ssh/ssh_config-filen, eller till användarkonfigurationen i ~/.ssh/config, eller genom att skicka -oUseRoaming=no till kommandoraden.

Användare med privata nycklar utan lösenord, speciellt i icke-interaktiva setups (automatiserade jobb med hjälpa av ssh, scp, rsync+ssh, osv.) råds att uppdatera sina nycklar om dom har anslutit till en SSH-server som dom inte litar på.

Mera detaljer om att identifera en attack och lindringar kommer att finnas tillgängliga i Qualys säkerhetsbulletin.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1:6.0p1-4+deb7u3.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:6.7p1-5+deb8u1.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), kommer dessa problem att rättas i en senare version.

Vi rekommenderar att ni uppgraderar era openssh-paket.