OpenSSHをv6.6にアップデートするのに役立ちます

OpenSSHをv6.6にアップデートするのに役立ちます

私のシステムは、AcceptEnvのOpenSSHワイルドカードの脆弱性(CVE-2014-2532)に脆弱です。

Centos用のopensshをバージョン6.6に更新しようとしましたが、そのバージョンのリポジトリを取得できませんでした[sic]。

/編集する/ PCI-DSSコンプライアンスがこの問題の原因です。

答え1

PCIの要件は次のとおりです。

そのソフトウェアをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認してください。プロバイダーが提供セキュリティパッチ。

サポートされていない代替ソフトウェアバージョンをランダムにダウンロードすることは、あなたがしなければならないことではありません。

これサプライヤー対応例:

Red Hat Security Labsはこの問題を「セキュリティへの影響が低い」と評価し、将来のアップデートでこの問題を解決する可能性があります。

したがって、現在Red Hatの修正はないので、CentOSの修正もありません。

この低いリスク評価の理由は、Red HatおよびCentOSに付属のデフォルト設定にワイルドカード(*)AcceptEnv値が含まれていないためです。

これで問題は、ベンダーが提供するデフォルト値を変更したために脆弱かどうかです。それでは、カスタムAcceptEnvワイルドカードを削除/再作成してシステムを安全に戻すことはできますか?

それとも、監査人はopensshソフトウェアのバージョン番号によってのみトリガーされ、まったく脆弱ではありませんか?

後者が頻繁に発生するため...

答え2

私はあなたよりもいくつかの問題があります。

私の解決策は、私のコンピュータでCentOS連続ストレージを有効にすることでした。

yum install centos-release-cr

CRの理由は次のとおりです。http://centosnow.blogspot.com/2014/10/continuous-release-repository-rpms-for.html

次の yum コマンドを使用してリポジトリをインストールできます。

yum install centos-release-cr

その後、CVE解像度(5.3p1-104.el6)で最後のopensshパッケージをインストールできました。

進行中のリリースに関する追加情報:http://wiki.centos.org/AdditionalResources/Repositories/CR

関連情報