O ISS X-Force lançou um alerta a respeito do OpenSSH "Remote Challenge Vulnerability". Infelizmente, o alerta estava incorreto em alguns pontos, conduzindo a uma confusão generalizada sobre o impacto desta vulnerabilidade. Nenhuma versão do OpenSSH no Debian foi afetada pela autenticação SKEY e BSD_AUTH descrita no alerta do ISS. De qualquer forma, o Debian não inclui servidores OpenSSH com a característica do PAM descrita como uma vulnerabilidade no último alerta do grupo do OpenSSH. (A característica desta vulnerabilidade é a autenticação usando o mecanismo kbdint.) Esta vulnerabilidade afeta as versões 2.3.1 até 3.3 do OpenSSH. Nenhuma exploração é conhecida atualmente para a vulnerabilidade do PAM/kbdint, mas os detalhes são públicos agora. Todas essas vulnerabilidades foram corrigidas no OpenSSH 3.4.
Além das correções das vulnerabilidades acima, nossso pacote OpenSSH versões 3.3 e superiores suportam a nova característica de separação de privilégio do Niels Provos, que modifica o ssh para utilizar o processo de separação não privilegiada no tratamento da maioria do trabalho. Vulnerabilidades nas partes não privilegiadas do OpenSSH levará a uma conta não privilegiada e restrita a um chroot, o que é melhor do que comprometer diretamente a conta de root. A separação de privilégio deve auxiliar a minimizar os riscos de qualquer problema futuro no OpenSSH.
O Debian 2.2 (potato) foi lançado com um pacote baseado no OpenSSH 1.2.3 e não é vulnerável aos problemas cobertos por este alerta. Usuários que ainda executam o pacote 1.2.3 do ssh não têm a necessidade de atualizar imediatamente para o OpenSSH 3.4. Usuários que atualizaram para o pacote do OpenSSH versão 3.3 lançado previamente devido ao DSA-134 devem atualizar para a nova versão 3.4, já que a 3.3 é vulnerável. Nós sugerimos que ainda executam a versão 1.2.3 considerem a atualização para a 3.4 para obter as vantagens da separação de privilégio. (Novamente, nós não temos conhecimento de qualquer vulnerabilidade no OpenSSH 1.2.3. Por favor, leia cuidadosamente as advertências listadas abaixo antes de realizar a atualização a partir do OpenSSH 1.2.3.) Nós recomendamos que qualquer usuários executando uma versão portada do OpenSSH 2.0 ou superior no potato atualize paa o OpenSSH 3.4.
A atual versão do Debian (woody), que está em estado de pré-lançamento, inclui uma versão do pacote 3.0.2p1 do OpenSSH (ssh), que é vulnerável ao problema do PAM/kbdint descrito acima. Nós recomendamos que os usuários atualizem para o OpenSSH 4.3 e habilitem a separação de privilégio. Por favor, leia cuidadosamente as notas de lançamento antes de atualizar. Atualizações do pacote ssh-krb5 (um pacote OpenSSH que suporta autenticação kerberos) estão atualmente em desenvolvimento. Usuários que hoje não podem atualizar seus pacotes OpenSSH podem trabalhar em cima das vulnerabilidades conhecidas, desabilitando as características vulneráveis: certifique-se de que as linhas abaixo estão descomentadas e presentes no /etc/ssh/sshd_config e reinicie o ssh.
PAMAuthenticationViaKbdInt no ChallengeResponseAuthentication no
Não devem haver entradas PAMAuthenticationViaKbdInt ou ChallengeResponseAuthentication no sshd_config.
Isto conclui a seção sobre vulnerabilidades deste alerta. O que segue são notas de lançamento relacionadas ao pacote OpenSSH 3.4 e a característica de separação de privilégio. URLs dos pacotes OpenSSH 3.4 estão logo abaixo.
Algumas notas sobre possíveis assuntos relacionados a esta atualização:
Algumas características de pacotes anteriores ao OpenSSH 3.3p1 corrigidos neste alerta (não se trata de changelog completo):
Novamente, nós lamentos ter que lançar pacotes com grandes mudanças e menos testes com relação aos que são feitos normalmente; dada a potencial severidade e natureza não especificada que esta ameaça trouxe originalmente, nós decidimos que nossos usuários estariam melhor servidos tendo pacotes disponíveis para atualização quanto mais rápido possível. Iremos enviar informações adicionais assim que as tivermos e continuaremos a trabalhar nisto.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original. (DSA-134-2) (DSA-134-3) (DSA-134-4)