Связаться по Skype: vkarabedyants
Позвонить Написать
+7 (499) 404-28-83

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Как поставить патч на OpenSSH, что бы исключить уязвимости CVE-2016-0777 и CVE-2016-0778

Проект OpenSSH  сообщает о наличии бага уязвимости приватных ключей.  Данный вид уязвимости идентифицирован. Как  исправить уязвимость клиента OpenSSH на операционной системе Linux или Unix-подобной?

Серьезная проблема безопасности был найден и исправлен в программном обеспечении OpenSSH. Две уязвимости были обнаружены в OpenSSH 14 /Jan/2016. Общую уязвимость и риски проекта определяют следующие вопросы:

  • Все версии OpenSSH с 5,4 до 7,1 являются уязвимыми CVE-2016-0777 и CVE-2016-0778
  • CVE-2016-0777 — утечка информации (раскрытие памяти) может быть использована для перехвата конфиденциальных данных из памяти клиента, включая, например, частные ключи.
  • CVE-2016-0778 — переполнение буфера (что приводит к утечке дескрипторов файлов), может быть использована уязвимость SSH, из-за ошибки в коде только при определенных условиях (не конфигурации по умолчанию ), при использовании ProxyCommand, ForwardAgent или ForwardX11.

В этой статье вы узнаете, как исправить в OpenSSH клиенте и сервере ошибки CVE-2016-0777 и CVE-2016-0778  Linux или Unix-подобной системах.

Как определить OpenSSH версию в системе Linux или Unix-подобной?

Синтаксис выглядит следующим образом CentOS / RHEL / SL:

Синтаксис выглядит следующим образом на Debian / Ubuntu Linux:

Результат команды

ssh-version

Список Linux дистрибутивов имеющих уязвимость в Openssh

  • CentOS Linux 7.x
  • RHEL (RedHat Enterprise Linux) 7.x
  • Debian Linux (squeeze, wheezy, jessie, stretch, and sid release)
  • Ubuntu Linux 14.04 LTS
  • Ubuntu Linux 12.04 LTS
  • Ubuntu Linux 15.10
  • Ubuntu Linux 15.04
  • SUSE Linux Enterprise Server 12 (SLES 12)
  • SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP1)
  • SUSE Linux Enterprise Server 11 Service Pack 4 (SLES 11 SP4)
  • SUSE Linux Enterprise Server 11 Service Pack 3 (SLES 11 SP3)
  • openSUSE 13.2
  • openSUSE Leap 42.1

Исправлений №1: Как устранить уязвимость CVE-2016-0777

ведите команду в соответствии с вашей ОС Linux или Unix:

OpenSSH на FreeBSD

Openssh on Linux

Openssh on Apple Mac OS X

Fix openssh on OpenBSD

Все из вышеперечисленных команд добавиляют опцию UseRoaming /etc/ssh/ssh_config или ~/.ssh/config конфигурационный файла SSH клиента. Конечно, вы можете использовать эту опцию непосредственно во время сеанса:

Исправление № 2: Обновите OpenSSH, чтобы исправить CVE-2016-0778

Чтобы исправить CVE-2016-0777 просто обновить все свои пакеты или как минимум обновите OpenSSH-сервер и клиент:

Debian/Ubuntu/Mint Linux

Для обновления openssh используйте следующие команды:

или

SL/RHEL/CentOS Linux

Используйте команду yum

Fedora Linux

Используйте команду dbf

FreeBSD unix user

SUSE Enterprise Linux

SUSE Linux Enterprise Server 12-SP1:

SUSE Linux Enterprise Server 12:

SUSE Linux Enterprise Desktop 12-SP1:

SUSE Linux Enterprise Desktop 12:

openSUSE Leap 42.1

Нужно ли перезагружать сервер после установки?

Нет не нужно.

Как проверить, применились ли обновления для OpenSSH?

Roaming-not-allowed-by-server

Сообщение Roaming not allowed by server, говорит о том, что ваша система еще уязвима. Если вы выполните предыдущие рекомендации и установите обновление, то не увидите такого сообщения.

 у Вас есть сервер и вы не уверены в своих возможностях администрирования, мы предлагаем услуги по поддержке серверов Linux/Unix ОС, подробнее в контакты.

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.