Debians sikkerhedsbulletin

DLA-387-1 openssh -- LTS-sikkerhedsopdatering

Rapporteret den:

14. jan 2016

Berørte pakker:

openssh

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 810984.
I Mitres CVE-ordbog: CVE-2016-0777, CVE-2016-0778.

Yderligere oplysninger:

Qualys Security Team opdagede to sårbarheder i roamingkoden i OpenSSH-klientne (en implementering af SSH-protokolsuiten).

SSH-roaming gør det muligt for en klient, i tilfælde af en SSH-forbindelse afbrydes uventet, at blive genoptaget på et senere tidspunkt, forudsat at serveren også understøtter det.

OpenSSH-server understøtter ikke roaming, men OpenSSH-klienten understøtter det (selv om det ikke er dokumenteret) og det er aktiveret som standard.

CVE-2016-0777
En informationslækage (hukommelsesafsløring) kunne udnyttes af en skrupelløs SSH-server til at narre en klient til at lække følsomme data fra klienthukommelsen, herunder eksempelvis private nøgler.
CVE-2016-0778
Et bufferoverløb (førende til fildeskriptorlækage), kunne også udnyttes af en skrupelløs SSH-server, men på grund af en anden fejl i koden, var det muligvis ikke udnytbart, og kun under visse omstændigheder (ikke standardopsætningen), når ProxyCommand, ForwardAgent eller ForwardX11 anvendes.

Sikkerhedsopdateringen deaktiverer fuldstændig roamingkoden i OpenSSH-klienten.

Det er også muligt at deaktivere roaming ved at tilføje den (udokuementerede) valgmulighed UseRoaming no til den globale fil /etc/ssh/ssh_config, eller til brugeropsætningen i ~/.ssh/config, eller ved at benytte -oUseRoaming=no på kommandolinjen.

Det anbefales at brugere med private nøgle uden en passphrase, særligt i ikke-interaktive opsætninger (automatiske jobs der anvender ssh, scp, rsync+ssh osv.), opdaterer deres nøgler hvis de har været forbundet til en SSH-server, der ikke er tillid til.

Flere oplysninger om hvordan man identificerer et angreb og afhjælper det, finder man i Qualys Security Advisory.