CentOS 7:openssh(CESA-2015:0425)
medium Nessus プラグイン ID 81894
Language:
概要
リモート CentOS ホストに1つ以上のセキュリティ更新がありません。説明
2 つのセキュリティの問題と複数のバグを修正し、様々な拡張機能を追加する更新済みの openssh パッケージが、Red Hat Enterprise Linux 7 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
OpenSSH は、OpenBSD の SSH(Secure SHell)プロトコルの実装です。これらのパッケージには、OpenSSH クライアントとサーバーの両方に必要なコアファイルが含まれています。
OpenSSH クライアントが DNS SSHFP レコードを適切に検証していないことがわかりました。悪意あるサーバーが、この欠陥を利用して、クライアントに強制的に DNS SSHFP レコードのチェックをスキップさせ、ユーザーに DNS SSHFP レコードのホスト検証を手動で実行することを要求する可能性があります。
(CVE-2014-2653)
OpenSSH を Kerberos 環境で使用するとき、認証済みのリモートのユーザーが、別のユーザーの ~/.k5users ファイルでリスト表示されている場合、そのユーザーとしてログインし、本来守られるべき認証制限をバイパスする可能性があります。(CVE-2014-9278)
openssh パッケージが Upstream バージョン 6.6.1 にアップグレードされ、以前のバージョンに対する多数のバグ修正と強化が行われています。(BZ#1059667)
バグ修正:
* syslog ユーティリティを使用してログを記録するとき、既存の /dev/log ソケットが必要でしたが、これはユーザーのホームディレクトリに基づく、すべての chroot 環境で可能ではありませんでした。結果として、内部 sftp サブシステムに /dev/log がない場合、 sftp コマンドは chroot セットアップでログに記録されませんでした。この更新により、/dev/log が存在するかどうかを検出できるように openssh が強化されています。/dev/log が存在しない場合、chroot 環境のプロセスは、それらのマスタープロセスをログ記録のために使用します。
(BZ#1083482)
* ホスト名用のバッファサイズが 64 バイトに制限されていました。この結果、ホスト名が 64 バイト以上の場合、ssh-keygen ユーティリティがエラーを起こしていました。このバグを修正するためにバッファサイズが増加されており、説明されている状況で ssh-keygen がエラーを起こすことはなくなりました。
(BZ#1097665)
* 端末リプログラミング攻撃を防ぐために、バナーメッセージで非 ASCII アスキー文字が 8 進表現のものに置き換えられていました。結果として、UTF-8 文字列を含むバナーはクライアントで適切に表示されませんでした。この更新により、バナーメッセージが RFC 3454 にしたがって処理され、コントロール文字が削除され、 UTF-8 文字列を含むバナーが適切に表示されるようになりました。(BZ#1104662)
* Red Hat Enterprise Linux は、セッション間で共有される、 Kerberos の永続的認証情報キャッシュを使用します。以前は、GSSAPICleanupCredentials オプションは、デフォルトで「yes」に設定されていました。
結果として、ログアウト時に Kerberos キャッシュを削除すると、他のセッションの無関係な認証情報が削除されることがあり、そのためシステムが使用できなくなる可能性があります。このバグを修正するために、GSSAPICleanupCredentials がデフォルトで「no」に設定されています。(BZ#1134447)
* /etc/ssh/moduli ファイルのアクセス権限が 0600 に設定されていましたが、これは必要以上に厳密な設定でした。この更新により、 /etc/ssh/moduli の権限が 0644 に変更され、ファイルへのアクセスが以前より容易になっています。(BZ#1134448)
* KRB5CCNAME 変数が切り捨てられていたため、Kerberos を有効利用する SSH 接続を使用したログインの後に、Kerberos チケットキャッシュが見つからなくなっていました。このバグを修正するために下層にあるソースコードが変更され、Kerberos 認証が上述の状況で予期していた通りに動作するようになっています。(BZ#1161173)
強化点:
* sshd デーモンが内部 SFTP セッションを強制するように構成されているとき、SFTP 以外の接続を使用すると、適切なメッセージが /var/log/secure ファイルに記録されます。(BZ#1130198)
* sshd-keygen サービスが、sshd.service ユニットファイルで「ExecStartPre=-/usr/sbin/sshd-keygen」オプションを使用して実行されていました。この更新で、別の sshd-keygen.service ユニットファイルが追加され、sshd.service が sshd-keygen.service を要求するように調整されています。(BZ#1134997)
openssh のユーザーに、これらの更新済みアップグレードすることを推奨します。これにより、問題修正と機能強化が行われます。
ソリューション
影響を受けた openssh パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 81894
ファイル名: centos_RHSA-2015-0425.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2015/3/18
更新日: 2021/1/4
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Agentless Assessment, Frictionless Assessment Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.5
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2014-2653
脆弱性情報
CPE: p-cpe:/a:centos:centos:openssh, p-cpe:/a:centos:centos:openssh-askpass, p-cpe:/a:centos:centos:openssh-clients, p-cpe:/a:centos:centos:openssh-keycat, p-cpe:/a:centos:centos:openssh-ldap, p-cpe:/a:centos:centos:openssh-server, p-cpe:/a:centos:centos:openssh-server-sysvinit, p-cpe:/a:centos:centos:pam_ssh_agent_auth, cpe:/o:centos:centos:7
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/3/17
脆弱性公開日: 2014/3/27
参照情報
CVE: CVE-2014-2653, CVE-2014-9278
RHSA: 2015:0425