openSUSE セキュリティ更新:dropbear(openSUSE-2016-393)
medium Nessus プラグイン ID 90168
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
dropbear 用のこの更新では、次の問題を修正しています:- dropbear が Upstream バージョン 2016.72 に更新されました
- X11 転送入力を検証します。authorized_keys command= restrictions のバイパスが引き起こされる可能性があります(github.com/tintinweb によって発見されました)。パッチについて Damien Miller 氏に感謝の意を表します。
- boo#970633 のバグ修正リリースとして使用しました - CVE-2016-3116
- dropbear が Upstream バージョン 2015.71 に更新されました
- データが転送された際の「bad buf_incrpos」を修正します(2015.69 で破損)
- -p アドレスポートを利用した際の終了時のクラッシュを修正します(2015.68 で破損)
- ENABLE_CLI_REMOTETCPFWD のみ与えられた場合の構築を修正します(Konstantin Tokarev 氏からのパッチ)
- dash シェルで動作しないスクリプトテストの構成不良を修正します(Juergen Daubert 氏からのパッチ、2015.70 で破損)
- セッションの終了停止を引き起こす可能性があるサーバーの競合状態を修正します(https://github.com/robotframework/SSHLibrary/issues/128)
- dropbear が Upstream バージョン 2015.70 に更新されました
- Linux 上でのサーバーパスワード認証を修正します(2015.69 で破損)
- 転送された TCP 接続が接続に失敗した場合に発生するクラッシュを修正します(2015.68 で発生したバグ)
- 複数のセッションを開始する際にセッション終了の停止を回避します。Andrzej Szombierski 氏からの Qt Creator パッチに影響を与えます
- よくある事例において、チャネルごとのメモリ消費を軽減し、デフォルトチャネル上限を 100 から 1000 に引き上げます。これにより、現在の Web ページに対する SOCKS 転送が改善するはずです
- 単一のフラグにおいて複数のコマンドライン引数を処理します(Guilhem Moulin 氏に感謝の意を表します)
- Guilhem Moulin 氏による man ページ改善
- Mike Frysinger 氏による Android に対する修正の構築
- Guilhem Moulin 氏が明確なコマンドを実行する場合に、MOTD を表示しません
- curve25519 共有秘密鍵がゼロではないことを確認します
- dropbear が Upstream バージョン 2015.68 に更新されました
- 効率性の向上のために、ローカルデータのコピーを軽減します。
ローカルホストへの接続のスループットにおいて、30% の上昇が測定されました
- 転送された TCP ポートが非同期で接続し、すべての利用可能なアドレスを試行します(IPv4、IPv6、ラウンドロビン DNS)
- すべてのコンパイル警告を修正します、多くのパッチは Gaël Portay からのものです 注意:一部のプラットフォーム(OS X)では -Werror の構成が成功しない可能性があり、一部の構成オプションでは未使用の変数に関する警告が表示される可能性があります。
- 利用可能な場合は、Linux の TCP Fast Open を利用します。以前に接続していたホストへの接続で、ラウンドトリップを保存します。最近の Linux カーネルが必要となります。また「sysctl -w net.ipv4.tcp_fastopen=3」クライアント側がデフォルトで無効になり、ネットワークとシステムの追加の互換性テストを保留する可能性があります。
- コマンドの最大の長さを 9000 バイトに引き上げます
- 終了する前にメモリを解放します(Thorsten Horstmann 氏からのパッチ)。組み込みシステムへの Dropbear ポート、および valgrind によるメモリリークの検証に役立ちます。dbclient に部分的にのみ実装されています。これはデフォルトでは無効となっています。sysoptions.h の DROPBEAR_CLEANUP で有効にすることができます
- DROPBEAR_DEFAULT_CLI_AUTHKEY 設定は、(「~」は特別扱いされません)先頭にスラッシュがない限り、ホームディレクトリを常に先頭に追加します
- 軽微な ECC メモリリークを修正します
- ディフィー・ヘルマンパラメーターの検証を強化します(Matta Consulting の Florent Daigniere 氏による)。不適切な値の奇数は、およそ 2**-512 です -- 発生する可能性は極めて低いです。
- Twofish-ctr 暗号はサポートされていますが、デフォルトでは無効になっています
- クライアント SSH-2.0 バナーの待機中の事前認証タイムアウトを修正します(CL Ouyang 氏に感謝の意を表します)
- コマンドのない authorized_keys の制限における NULL ポインターのクラッシュを修正します(Guilhem Moulin 氏からのパッチ)。
- 初期バナーの読み込み中に認証タイムアウトが確実に処理されるようにします(これを発見してくれた CL Ouyang 氏に感謝の意を表します)。
- 不適切な ECC キーを処理する際の NULL ポインターのクラッシュを修正します。afl-fuzz によって発見されました
- dropbear が Upstream バージョン 2015.67 に更新されました
- 秘密鍵の生成後に fsync() を呼び出して、再起動時にこれらの秘密鍵が失われないようにします。Peter Korsgaard 氏に感謝の意を表します
- サーバー上で非遅延 zlib 圧縮をデフォルトで無効にします。DROPBEAR_SERVER_DELAY_ZLIB を伴う古いクライアントに必要な場合に、有効にすることができます
- デフォルトのクライアントキーパス ~/.ssh/id_dropbear
- デフォルトでより強力なアルゴリズムを優先します(Fedor Brunner 氏による)。グループ 1 の 3DES ディフィー・ヘルマングループ 14 の AES256
- CBC 暗号を無効にするためのオプションを追加します。
- デフォルトの options.h で twofish を無効にします
- デフォルトで sha2 HMAC アルゴリズムを有効にします。ECC キー交換にコードが既に必要でした。sha1 は、パフォーマンスにとって最適な環境設定です。
- 別のビルドディレクトリでの dropbear.8 のインストールを修正します(Like Ma 氏による)
- libtomcrypt/libtommath がない場合でも構成が成功するようにします(Elan Ruusamäe 氏による)
- ssh-agent が不明な種類の鍵を提供する場合にクラッシュしません。(Catalin Patulea 氏による)
- 軽微なバグ修正、Coverity Scan によって複数の問題が発見されました
- dropbear が Upstream バージョン 2014.66 に更新されました
- OpenSSH と同じキープアライブ処理動作を利用します。
これは、不明な種類のメッセージを伴う異なる動作を行う一部の SSH 実装でより優れた動作をします。
- 自社のキープアライブメッセージへの返信を受信した場合に SSH_MSG_UNIMPLEMENTED で返信しません
- $SSH_CLIENT を設定して bash が正しく機能するようにします(Ryan Cleere 氏からのパッチ)
- 2013.62 以来破損している wtmp を修正します(Whoopie からのパッチ)
- dropbear が Upstream バージョン 2014.65 に更新されました
- 2014.64 の回帰を修正します。scp(および恐らく他)の終了時のサーバーセッションハングアップ。それを追跡した NiLuJe に感謝の意を表します。
- 2014.64 の回帰を修正します。古い Linux カーネルで発生する clock_gettime() エラー処理。NiLuJe による報告。
- 2014.64 の回帰を修正します。writev() がキャッチされていない EAGAIN で失敗することがあります。
- proxycommand またはマルチホップパイプの QoS を設定しようとする際に表示されるエラーメッセージを回避します
- /usr/bin/xauth を使用します。Mike Frysinger 氏に感謝の意を表します。
- ローカルユーザーエントリが見つからない場合にクライアントを終了しません。iquaba に感謝の意を表します
- dropbear-keygen.service になかった systemd エントリを追加しました
- dropbear が Upstream バージョン 2014.64 に更新されました
- ECDSA と DSS を無効にしてコンパイルを修正します
- 多数の発信パケットが writev() にキューイングされている場合に突然終了しませんRonny Meeus 氏によるパッチ
- 現時点では、-K keepalive オプションが OpenSSH の「ServerAliveInterval」のように動作するようになりました。3 つの keepalive の後に応答が受信されない場合、セッションが終了します。これは、TCP タイムアウトを待機するよりも早く接続を終了します。
- TCP の優先度設定を修正します。新しい設定は if (connecting || ptys || x11) tos = LOWDELAY else if (tcp_forwards) tos = 0 else tos = BULK です。提案してくれた Catalin Patulea 氏に感謝の意を表します。
- TCP が転送した多数の新しい同時接続の処理を向上します。現時点では MAX_CHANNELS の数だけ処理できるようになったはずです。報告し、調査してくれた Eduardo Silva 氏に感謝の意を表します。
- クライアントからの終了メッセージが必ず印刷されるようにします。2013.57 の回帰です。
- 可能な場合はモノトニッククロックを使用します。タイムアウトがシステムタイムの変更による影響を受けません。
- バージョンに対して -V を追加します
- dropbear は、ECDSA キーの作成も行うために更新された標準 init スクリプトです
- Upstream バージョン 2014.63 に更新します
- ラップトップをスリープからウェイクアップした後のクライアントの対話型セッションを終了するために ~. を修正します。
- ポートセパレーターシンタックスを変更しました。現在は host^port を使用しています。これは IPv6 リンクローカルアドレスが % を使用しているためです。Gui Iribarren 氏による報告
- dropbearmulti ターゲットを常に再度リンクするのを回避します。マルチターゲットの「make install」を修正します。Mike Frysinger 氏に感謝の意を表します。
- 巨大なキーファイルを書き込んでいるループに陥るのを回避します。Bruno Thomsen 氏による報告。
- dropbearkey または dropbearconvert を libz または libutil にリンクしません。Nicolas Boos 氏に感謝の意を表します。
- /usr/lib のないシステムにおける -lcrypt のリンクを修正します。Nicolas Boos 氏に感謝の意を表します。
- 最終パケットが送信される前にキーがクリーンアップされるため発生する終了時のクラッシュを回避します。Ronald Wahl 氏によりデバッグされました。
- 暗号鍵変更の競合状態を修正します。暗号鍵変更の開始後にまだインフライト中のパケットを受信した場合、Dropbear は終了します。Oliver Metz 氏による報告。これは長年悩まされていたバグですが、2013.57 以来発生しやすくなりました。
- [...]
- dropbear は、ecdsa キーの更新済みサービスファイルとアクティベート済み構造物です。
- systemd なしのディストリビューションの古い init サービスをパッケージするだけです
- Upstream バージョン 2013.62 をインポート
- 接続に PTY(scp、rsync など)がない場合、「interactive」QoS 接続オプションを無効にします。パッチをくれた Catalin Patulea 氏に感謝の意を表します。
- ホストキーが -R で生成されるときにログを記録します。サーバーホストキーコマンドラインオプションにあるいくつかのバグを修正します。
- Dropbearconvert と 521 ビットキーのクラッシュを修正します。NiLuJe による報告。
- config.guess と config.sub を再度更新します
- ECC(楕円曲線)のサポート。暗号化キーを設定するために、ECDSA ホストキー(新しいキーを生成する必要があります)と ECDH をサポートします(介入は必要ありません)。これはかなり速くなります。
- 暗号化キーを設定するための [email protected] のサポート。これはアルゴリズムパラメターの NSA 介入の可能性がより少ない別の楕円曲線モードです。curve25519-donna コードは Adam Langley 氏によるものです。
- -自動的にホストキーを生成するための R オプション。組み込みプラットフォームに対してこれは推奨されます。ホストキーが必要になる前に、システム乱数デバイスの /dev/urandom に長い起動時間が許可され、安全なシードを生成できるためです。
- Tru64 のような古いベンダーコンパイラのコンパイル修正です。Daniel Richard G 氏によるものです。
- authorized_keys 処理をより堅牢にします。発生する無効な形式のラインを終了しません。Lorin Hochstein 氏と Mark Stillwell 氏に感謝の意を表します
ソリューション
影響を受ける dropbear パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 90168
ファイル名: openSUSE-2016-393.nasl
バージョン: 2.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2016/3/25
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 5.5
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N
CVSS v3
リスクファクター: Medium
基本値: 6.4
現状値: 5.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:dropbear, p-cpe:/a:novell:opensuse:dropbear-debuginfo, p-cpe:/a:novell:opensuse:dropbear-debugsource, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2016/3/24
参照情報
CVE: CVE-2016-3116