Бюллетень безопасности FreeBSD-SA-17:01.openssh (неофициальный перевод)

Первоисточник: https://www.freebsd.org/security/advisories/FreeBSD-SA-17:01.openssh.asc

Тема: Несколько уязвимостей OpenSSH
Категория: contrib
Модуль: OpenSSH
Анонсировано: 11.01.2017
Влияет на: Все поддерживаемые версии FreeBSD.
Исправлено в: 2017-01-11 05:56:40 UTC (stable/11, 11.0-STABLE)
2017-01-11 06:01:23 UTC (releng/11.0, 11.0-RELEASE-p7)
2017-01-11 05:56:40 UTC (stable/10, 10.3-STABLE)
2017-01-11 06:01:23 UTC (releng/10.3, 10.3-RELEASE-p16)
CVE ID: CVE-2016-10009, CVE-2016-10010

Для получения общей информации о рекомендациях по безопасности FreeBSD, посетите https://security.FreeBSD.org/.

I. Общая информация

OpenSSH это набор утилит для реализации протокола SSH, обеспечивающий шифрование и проверку подлинности на транспортном уровне для различных сервисов, включая удаленный доступ к оболочке.

OpenSSH поддерживает доступ к ключам стандарта PKCS#11.

II. Описание проблемы

Агент ssh-agent поддерживает загрузку модуля PKCS#11 извне доверенного белого списка. Злоумышленник может запросить загрузку модуля PKCS#11 через переадресованный агент-сокет. [CVE-2016-10009]

Если разделение полномочий отключено, переадресованные сокеты домена Unix будут созданы sshd с полномочиями «root», а не аутентифицированного пользователя. [CVE-2016-10010]

III. Влияние

Злоумышленник, который удаленно контролирует переадресованный агент-сокет на удаленной системе и имеет возможность записи файлов в системе, на которой запущен агент ssh-agent, может запускать произвольный код под учетными данными запустившего агент пользователя. Поскольку злоумышленник уже должен иметь некоторый контроль над обеими системами, то относительно трудно будет использовать эту уязвимость в реальной атаке. [CVE-2016-10009]

Если разделение полномочий отключено (в FreeBSD по умолчанию разделение полномочий включено), прошедший аутентификацию злоумышленник может потенциально получить привилегии root в системах, на которых запущен сервер OpenSSH. [CVE-2016-10010]

IV. Временное решение

Системы, не использующие ssh-agent и sshd не подвержены этой уязвимости.

Системные администраторы могут удалить ssh-agent, чтобы минимизировать риски, указанные в CVE-2016-10009.

Системные администраторы должны включать разделение полномочий при запуске сервера OpenSSH, чтобы минимизировать риски, указанные в CVE-2016-10010.

V. Решение

Выполните одно из следующих действий:

1) Обновите вашу систему до поддерживаемой FreeBSD stable или release / releng версии, выпущенной датой после устранения уязвимости.

Убейте все запущенные процессы ssh-agent и перезапустите службу sshd. Перезагрузка рекомендуется, но не обязательна.

2) Обновите систему бинарными патчами:

Системы с RELEASE версией FreeBSD на i386 и amd64 платформах могут быть обновлены утилитой freebsd-update.

# freebsd-update fetch
# freebsd-update install

Убейте все запущенные процессы ssh-agent и перезапустите службу sshd. Перезагрузка рекомендуется, но не обязательна.

3) Обновите систему при помощи исходного кода патча:

Ниже указанные патчи будут добавлены в релизные ветки FreeBSD.

а) Загрузите соответствующий патч, используя ниже приведенные ссылки и проверьте PGP подпись, используя вашу утилиту PGP.

# fetch https://security.FreeBSD.org/patches/SA-17:01/openssh.patch
# fetch https://security.FreeBSD.org/patches/SA-17:01/openssh.patch.asc
# gpg --verify openssh.patch.asc

b) Примените патч, используя следующие команды под пользователем root:

# cd /usr/src
# patch < /path/to/patch

с) Перекомпилируйте операционную систему, используя buildworld и installworld, как описанно в https://www.FreeBSD.org/handbook/makeworld.html.

Убейте все запущенные процессы ssh-agent и перезапустите службу sshd. Перезагрузка рекомендуется, но не обязательна.

VI. Сведения об исправлении

Список ниже содержит номера ревизий каждой из уязвимых ветвей FreeBSD.

Ветвь                                                             Ревизия
- -------------------------------------------------------------------------
stable/10/                                                        r311915
releng/10.3/                                                      r311916
stable/11/                                                        r311915
releng/11.0/                                                      r311916
- -------------------------------------------------------------------------

Чтобы узнать, какие файлы были изменены в конкретной ревизии, запустите на машине с установленным Subversion указанную ниже команду, заменив NNNNNN на номер ревизии.

# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base

Или посетите следующий URL, заменив NNNNNN на номер ревизии:

URL: https://svnweb.freebsd.org/base?view=revision&revision=NNNNNN

Оставить комментарий