Debians sikkerhedsbulletin
DLA-387-1 openssh -- LTS-sikkerhedsopdatering
- Rapporteret den:
- 14. jan 2016
- Berørte pakker:
- openssh
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 810984.
I Mitres CVE-ordbog: CVE-2016-0777, CVE-2016-0778. - Yderligere oplysninger:
-
Qualys Security Team opdagede to sårbarheder i roamingkoden i OpenSSH-klientne (en implementering af SSH-protokolsuiten).
SSH-roaming gør det muligt for en klient, i tilfælde af en SSH-forbindelse afbrydes uventet, at blive genoptaget på et senere tidspunkt, forudsat at serveren også understøtter det.
OpenSSH-server understøtter ikke roaming, men OpenSSH-klienten understøtter det (selv om det ikke er dokumenteret) og det er aktiveret som standard.
- CVE-2016-0777
En informationslækage (hukommelsesafsløring) kunne udnyttes af en skrupelløs SSH-server til at narre en klient til at lække følsomme data fra klienthukommelsen, herunder eksempelvis private nøgler.
- CVE-2016-0778
Et bufferoverløb (førende til fildeskriptorlækage), kunne også udnyttes af en skrupelløs SSH-server, men på grund af en anden fejl i koden, var det muligvis ikke udnytbart, og kun under visse omstændigheder (ikke standardopsætningen), når ProxyCommand, ForwardAgent eller ForwardX11 anvendes.
Sikkerhedsopdateringen deaktiverer fuldstændig roamingkoden i OpenSSH-klienten.
Det er også muligt at deaktivere roaming ved at tilføje den (udokuementerede) valgmulighed
UseRoaming no
til den globale fil /etc/ssh/ssh_config, eller til brugeropsætningen i ~/.ssh/config, eller ved at benytte -oUseRoaming=no på kommandolinjen.Det anbefales at brugere med private nøgle uden en passphrase, særligt i ikke-interaktive opsætninger (automatiske jobs der anvender ssh, scp, rsync+ssh osv.), opdaterer deres nøgler hvis de har været forbundet til en SSH-server, der ikke er tillid til.
Flere oplysninger om hvordan man identificerer et angreb og afhjælper det, finder man i Qualys Security Advisory.
- CVE-2016-0777