CentOS 4:openssh(CESA-2007:0257)
low Nessus プラグイン ID 67047
Language:
概要
リモート CentOS ホストに1つ以上のセキュリティ更新がありません。説明
セキュリティの問題とさまざまなバグを修正する更新済みの openssh パッケージが、現在利用可能です。この更新は、Red Hat セキュリティレスポンスチームによりセキュリティインパクトが小さいと評価されています。
OpenSSH は、OpenBSD の SSH(Secure SHell)プロトコルの実装です。このパッケージには、OpenSSH クライアントとサーバーの両方に必要なコアファイルが含まれています。
OpenSSH はホスト名、IP アドレス、キーを known_hosts ファイルに平文で保存します。ユーザーの SSH アカウントを既にコミットしたローカルの攻撃者が、この情報を使用して、同じパスワードまたはキーを使用する可能性が高い追加のターゲットのリストを生成する可能性があります。
(CVE-2005-2666)
次のバグもこの更新で修正されています。
* サーバーアプリケーションが大量の出力を一度に生成したときに、 ssh クライアントが実行されている接続を中止することが可能です。
* IPv6 のネットワーキングが有効化されているシステムで「X11UseLocalhost」オプションが「no」に設定されていると、 X11 フォワーディングソケットは IPv6 接続だけをリッスンしました。
* 権限の分離が /etc/ssh/sshd_config で有効化されていると、システムログのいくつかのログメッセージが重複し、不適切なタイムゾーンからのタイムスタンプも生成されました。
openssh の全ユーザーは、バックポートされたパッチを含み、これらの問題を修正する、これらの更新済みのパッケージへアップグレードする必要があります。
ソリューション
影響を受けた openssh パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Low
ID: 67047
ファイル名: centos_RHSA-2007-0257.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2013/6/29
更新日: 2021/1/4
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.5
CVSS v2
リスクファクター: Low
基本値: 1.2
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:centos:centos:openssh, p-cpe:/a:centos:centos:openssh-askpass, p-cpe:/a:centos:centos:openssh-askpass-gnome, p-cpe:/a:centos:centos:openssh-clients, p-cpe:/a:centos:centos:openssh-server, cpe:/o:centos:centos:4
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
パッチ公開日: 2007/5/2
脆弱性公開日: 2005/8/23
参照情報
CVE: CVE-2005-2666