检测

Scientific Linux 安全更新:SL6.x i386/x86_64 中的 openssh

low Nessus 插件 ID 61345

语言:

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

OpenSSH 是 OpenBSD 的 Secure Shell (SSH) 协议实现。这些程序包中包含 OpenSSH 客户端和服务器必须具有的核心文件。

在 OpenSSH GSSAPI 认证实现中发现了拒绝服务缺陷。经过认证的远程用户可利用此缺陷导致 OpenSSH 服务器后台程序 (sshd) 使用过量内存,从而造成拒绝服务。默认已启用 GSSAPI 认证(“/etc/ssh/sshd_config”中为“GSSAPIAuthentication yes”)。(CVE-2011-5000)

这些更新后的 openssh 程序包还提供以下缺陷的补丁:

- 如果启用了 IPv6 且参数 X11UseLocalhost 设置为“no”,则 SSH X11 转发失败。结果,用户不能设置 X 转发。此更新修复了 sshd 和 ssh,所以可以正确绑定 IPv6 协议的端口。因此,X11 转发现在可以正常支持 IPv6。

- 运行压力测试时,OOM killer 终止 sshd 后台程序。结果,用户不能登录。通过此更新,sshd 后台程序将其 oom_adj 值设置为 -17。因此,sshd 不被 OOM killer 选择,而用户可以登录以解决内存问题。

- 如果为 SSH 服务器配置了包含反斜线字符的标题,客户端将再使用一个“\”字符为其转义,所以该标题打印双反斜线。已应用上游修补程序以修正此问题,所以 SSH 标题现在可以正常显示。

此外,这些更新后的 openssh 程序包还提供以下增强:

- 以前,SSH 允许多种认证方法,而其中只有一种是成功登录所需。
 SSH 现在可以设置为需要多种认证方法。例如,要登录启用了 SSH 的计算机,必须同时输入密码和公钥。可以在 /etc/ssh/sshd_config 文件中配置 RequiredAuthentications1 和 RequiredAuthentications2 选项以指定成功登录所需的认证。例如,要为 SSH 版本 2 设置密钥和密码认证,请输入:

echo 'RequiredAuthentications2 publickey,password' >> /etc/ssh/sshd_config

有关上述 /etc/ssh/sshd_config 选项的更多信息,请参阅 sshd_config 手册页。

- 以前,OpenSSH 只能将高级加密标准新指令 (AES-NI) 指令集用于 AES 密码块链接 (CBC) 密码。此更新增加了 OpenSSH 中对计数器 (CTR) 模式加密的支持,所以 AES-NI 指令集现在也可以有效地用于 AES CTR 密码。

- 在此更新之前,特权分离 (privsep) 期间非特权从 sshd 进程作为 sshd_t 上下文运行。sshd_t 是用于运行 sshd 后台程序的 SELinux 上下文。假设非特权从进程以用户的 UID 运行,则适合在用户的 SELinux 上下文下运行该进程,而不是在特权 sshd_t 上下文下运行。通过此更新,非特权从进程现在以用户的上下文运行,而不是以 sshd_t 上下文运行,以满足特权分离的原则。
 非特权进程(可能对安全威胁更敏感)现在在用户的 SELinux 上下文下运行。

建议用户升级这些更新后的 openssh 程序包,其中包含用于解决这些问题的向后移植的修补程序并添加这些增强。安装此更新后,OpenSSH 服务器后台程序 (sshd) 将自动重新启动。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?724debbd

插件详情

严重性: Low

ID: 61345

文件名: sl_20120620_openssh_on_SL6_x.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2012/8/1

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Low

基本分数: 3.5

矢量: CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:openssh, p-cpe:/a:fermilab:scientific_linux:openssh-askpass, p-cpe:/a:fermilab:scientific_linux:openssh-clients, p-cpe:/a:fermilab:scientific_linux:openssh-debuginfo, p-cpe:/a:fermilab:scientific_linux:openssh-ldap, p-cpe:/a:fermilab:scientific_linux:openssh-server, p-cpe:/a:fermilab:scientific_linux:pam_ssh_agent_auth, x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2012/6/20

漏洞发布日期: 2012/4/5

参考资料信息

CVE: CVE-2011-5000