CVEデータベースに私のOpenSSHバージョンが脆弱であるとマークされている場合は、パッチが適用されましたが、バージョン番号はそのまま維持できますか?

CVEデータベースに私のOpenSSHバージョンが脆弱であるとマークされている場合は、パッチが適用されましたが、バージョン番号はそのまま維持できますか?

OpenSSHバージョン7.4p1を使用しており、CVEデータベースでcpe:/ a:openbsd:openssh:7.4:p1がCVE-2017-15906に脆弱であることがわかりました。https://www.cvedetails.com/cve/CVE-2017-15906/

これは私のバージョンが間違いなく影響を受けたという意味ですか、それともバージョンが同じ番号を持っていますが、パッチが適用された可能性がありますか?これをどのように確認しますか?

答え1

openssh-7.4p1-16.el7CentOSはRHELを再構築したので、CentOS 7または同等のバージョンに同梱されているシステムにアップデートすると、システムは安全です。

Red Hat アクセスポータルには CVE データベースがあります。

https://access.redhat.com/security/cve/cve-2017-15906

正誤表の修正リンクと、特定の問題を修正するパッケージのリストが含まれています。

https://access.redhat.com/errata/RHSA-2018:0980

同様に、インストールされたパッケージの変更ログを取得することができます。ここでは、このCVE番号と関連する内容をリストする必要があります。

免責事項:私は今回のRHELリリースでパッケージを修正しています。

答え2

2017年11月に7.4p1-16で修正されました。

$ rpm -q openssh-server
openssh-server-7.4p1-16.el7.x86_64
$ rpm -q --changelog openssh-server | grep CVE-2017-15906
- Fix for CVE-2017-15906 (#1517226)
$ rpm -q --changelog openssh-server | head
* Fri Nov 24 2017 Jakub Jelen <[email protected]> - 7.4p1-16 + 0.10.3-2
- Fix for CVE-2017-15906 (#1517226)

* Mon Nov 06 2017 Jakub Jelen <[email protected]> - 7.4p1-15 + 0.10.3-2
- Do not hang if SSH AuthorizedKeysCommand output is too large (#1496467)
- Do not segfault pam_ssh_agent_auth if keyfile is missing (#1494268)
- Do not segfault in audit code during cleanup (#1488083)
- Add WinSCP 5.10+ compatibility (#1496808)
- Clatch between ClientAlive and rekeying timeouts (#1480510)
- Exclude dsa and ed25519 from default proposed keys in FIPS mode (#1456853)
$

答え3

オープンSSH 7.4p1CVE-2017-15906の影響を受ける

... OpenSSHパッケージ発行者がパッチを適用していない場合。

影響を受けるOpenSSHパッケージでこの特定のCVEにパッチを適用するリセラーの例を見つけることができます。Ubuntuの7.5p1の変更ログエントリ(クイックブラウズでわかる限り、パッチ付き7.4p1はまだリリースされていません):

openssh (1:7.5p1-10ubuntu0.1) artful-security; urgency=medium
  * SECURITY UPDATE: DoS via zero-length file creation in readonly mode
    - debian/patches/CVE-2017-15906.patch: disallow creation of empty files
      in sftp-server.c.
    - CVE-2017-15906

 -- Marc Deslauriers <[email protected]>  Tue, 16 Jan 2018 08:28:47 -0500

Fedora(7.4p1)と同じ

残念ながら、CentOSには簡単にアクセスできるパッケージ更新データベースがないようです。

答え4

~によると ブギラ7.6RHEL 7ベースのシステムバージョンではセキュリティバグが修正されました。

修正バージョン:openssh 7.6

RHELのガイドラインCVE-2017-15906

7.6より前のOpenSSHのsftp-server.cのprocess_open関数は、読み取り専用モードで書き込みを適切にブロックしないため、攻撃者は長さ0のファイルを生成する可能性があります。

この情報は以下でも確認できます。 オープンSSH 7.6 リリース発表

OpenSSH 7.5以降の変更点

安全

  • sftp-server(8):読み取り専用モードでは、sftp-serverは長さ0のファイル生成を誤って許可しました。 Michal Zalewskiが報告します。

このバグは2018年4月10日に修正されましたopenssh-7.4p1openssh セキュリティ、バグ修正、改善アップデート

関連情報