ISS X-Force veröffentlichte eine Ankündigung über eine OpenSSH Entfernte
Challenge-Verwundbarkeit
. Unglücklicherweise war die Ankündigung in einigen
Punkten falsch, was zu einer weitreichenden Verwirrung über den Einfluss
dieser Verwundbarkeit führte. Keine Version von OpenSSH in Debian ist von dem
SKEY und BSD_AUTH Authentifizierungsmethoden betroffen, wie sie in dem
ISS-Gutachten beschrieben werden. Jedoch beinhaltet Debian OpenSSH-Server mit
PAM-Unterstützung, die in den späteren Gutachten des OpenSSH-Teams als verwundbar
beschrieben wird. (Diese ausnutzbare Fähigkeit ist die Authentifizierung
mittels PAM über den interaktiven Tastaturmechanismus [kbdint].) Diese
Verwundbarkeit betrifft OpenSSH-Versionen 2.3.1 bis 3.3. Zurzeit ist kein
Exploit für die PAM/kbdint-Verwundbarkeit bekannt, jedoch sind die Details
öffentlich bekannt. All diese Verwundbarkeiten wurden in OpenSSH 3.4
behoben.
Zusätzlich zu den Sicherheitsbehebungen, die oben angeführt sind, unterstützen unsere OpenSSH-Pakete ab Version 3.3 die neue Privilegteilungs-Fähigkeit von Niels Provos, die ssh dahingehend ändert, einen getrennten unprivilegierten Prozess für die meiste Arbeit zu verwenden. Verwundbarkeiten im nicht privilegierten Account werden auf eine leere chroot eingeschränkt, anstelle zu einer direkten root-Beeinträchtigung zu führen. Privilegteilung sollte helfen, das Risiko durch zukünftige OpenSSH-Beeinträchtigungen zu mildern.
Debian 2.2 (Potato) wurde mit einem auf OpenSSH 1.2.3 basierendem ssh-Paket ausgeliefert, und ist von den Verwundbarkeiten in diesem Gutachten nicht betroffen. Benutzer, die immer noch ein ssh-Paket Version 1.2.3 verwenden, müssen nicht sofort auf OpenSSH 3.4 aktualisieren. Benutzer, die auf die OpenSSH-Version 3.3 Pakete aktualisiert haben, die mit früheren Versionen von DSA-134 veröffentlicht wurden, sollten auf die neuen Version 3.4 OpenSSH-Pakete aktualisieren, da die Version 3.3 Pakete verwundbar sind. Wir empfehlen Benutzern, die OpenSSH 1.2.3 verwenden, eine Umstellung auf OpenSSH 3.4 zu erwägen, um den Vorteil der Privilegteilungs-Möglichkeit zu nutzen. (Jedoch nochmals, uns ist keine spezielle Verwundbarkeit in OpenSSH 1.2.3 bekannt. Bitte lesen Sie sorgfältig die Vorsichtsmaßnahmen, die unterhalb aufgeführt sind, bevor Sie von OpenSSH 1.2.3 aktualisieren.) Wir empfehlen, dass alle Benutzer, die eine zurückportierte Version von OpenSSH Version 2.0 oder größer auf Potato verwenden, auf OpenSSH 3.4 aktualisieren.
Die aktuelle Pre-Release Version von Debian (Woody) beinhaltet ein OpenSSH Version 3.0.2p1 Paket (ssh), das für das oben beschriebene PAM/kbdint-Problem anfällig ist. Wir empfehlen den Benutzern, auf OpenSSH 3.4 zu aktualisieren und Privilegteilung zu aktivieren. Bitte lesen Sie die Release-Bemerkungen unterhalb sorgfältig durch, bevor Sie aktualisieren. An aktualisierten Paketen für ssh-krb5 (ein OpenSSH-Paket, das Kerberos-Authentifizierung unterstützt) wird im Augenblick noch gearbeitet. Benutzer, die ihre OpenSSH-Pakete zurzeit nicht aktualisieren können, möchten eventuell um die bekannten Verwundbarkeiten herumarbeiten, indem sie die verwundbaren Fähigkeiten abschalten: Vergewissern Sie sich, dass die folgenden Zeilen kein Kommentarzeichen vorangestellt haben und in Ihrer /etc/ssh/sshd_config vorhanden sind, und starten Sie ssh neu
PAMAuthenticationViaKbdInt no ChallengeResponseAuthentication no
Es sollte keine anderen PAMAuthenticationViaKbdInt oder ChallengeResponseAuthentication Einträge in sshd_config vorhanden sein.
Das beendet den Verwundbarkeitsabschnitt dieses Gutachten. Folgend finden Sie die Release-Bemerkungen zum OpenSSH 3.4 Paket und die Privilegteilungs-Fähigkeiten. URLs für die OpenSSH 3.4 Pakete stehen am Ende.
Einige Notizen zu möglichen Fragen, die mit dieser Aktualisierung zusammenhängen:
sshdein, der im Privilegteilungs-Code verwendet wird. Falls kein sshd-Account existiert, wird das Paket versuchen, einen zu erstellen. Wenn der Account bereits vorhanden ist, wird er wiederverwendet. Falls Sie nicht wollen, dass dies passiert, müssen Sie dies manuell ändern.
Protocol 1,2ändern, um Protokoll 1 vor Protokoll 2 zu verwenden, oder
UsePrivilegeSeparation noin Ihre /etc/ssh/sshd_config Datei einfügen.
Einige Dinge von früheren OpenSSH 3.3p1 Paketen, die mit diesem Gutachten korrigiert wurden (kein komplettes changelog):
do you want to allow protocol 2 onlysteht nicht länger standardmäßig auf
yesfür Potato. Benutzer, die diese Frage mit
yesbeantwortet haben und ebenfalls gewählt haben, dass ihre sshd_config Datei neu generiert werden soll, haben entdeckt, dass Sie sich nicht mehr auf ihren Server über das Protokoll 1 verbinden konnten. Lesen Sie /usr/doc/ssh/README.Debian für eine Anleitung, wie Sie Protokoll 1 aufdrehen können, falls Sie sich in dieser Situation befinden. Da der Standardwert im Potato-Paket nun
noist, sollte dies kein Problem für Leute sein, die in Zukunft von Version 1.2.3 aktualisieren.
Wir wollen nochmals darauf hinweisen, dass wir es bedauern, weniger getestete Pakete mit größeren Änderungen als üblicherweise verbreiten zu müssen; wegen der potenziellen Schwere und der nicht spezifischen Natur der ursprünglichen Bedrohung entschieden wir uns, dass unsere Benutzer am besten so rasch wie möglich mit Paketen zur Bewertung gedient ist. Wir werden zusätzliche Informationen senden, wenn wir sie erhalten, und weiter an den ausstehenden Problemen arbeiten.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung. (DSA-134-2) (DSA-134-3) (DSA-134-4)