Wenn in einer CVE-Datenbank meine Version von OpenSSH als anfällig aufgeführt ist, ist es möglich, dass sie gepatcht wurde, aber die Versionsnummer beibehält?

Ich verwende OpenSSH Version 7.4p1. In der CVE-Datenbank stellte ich fest, dass cpe: / a: openbsd: openssh: 7.4: p1 für CVE-2017-15906 anfällig ist. Https://www.cvedetails.com/cve/CVE-2017- 15906 / .

Bedeutet dies, dass meine Version sicher betroffen ist, oder ist es möglich, dass diese Version dieselbe Nummer hat, aber bereits gepatcht ist? Wie kann ich das überprüfen?

CentOS wird nur RHEL neu erstellt, damit Ihr System sicher ist, wenn Sie ein Update auf openssh-7.4p1-16.el7oder ein ähnliches System durchgeführt haben, das in CentOS 7 geliefert wird .

Im Red Hat-Zugriffsportal befindet sich eine CVE-Datenbank:

https://access.redhat.com/security/cve/cve-2017-15906

Mit Links zu den Erratas, die die Probleme beheben, und mit einer Liste von Paketen, die das spezifische Problem beheben:

https://access.redhat.com/errata/RHSA-2018:0980

Ebenso können Sie das Änderungsprotokoll Ihres installierten Pakets abrufen und es sollte etwas auflisten, das mit dieser CVE-Nummer zusammenhängt.

Discaimer: Ich habe dieses Paket in dieser RHEL-Version repariert.

Wurde im November 2017 in 7.4p1-16 behoben.

$ rpm -q openssh-server
openssh-server-7.4p1-16.el7.x86_64
$ rpm -q --changelog openssh-server | grep CVE-2017-15906
- Fix for CVE-2017-15906 (#1517226)
$ rpm -q --changelog openssh-server | head
* Fri Nov 24 2017 Jakub Jelen <jjelen@redhat.com> - 7.4p1-16 + 0.10.3-2
- Fix for CVE-2017-15906 (#1517226)

* Mon Nov 06 2017 Jakub Jelen <jjelen@redhat.com> - 7.4p1-15 + 0.10.3-2
- Do not hang if SSH AuthorizedKeysCommand output is too large (#1496467)
- Do not segfault pam_ssh_agent_auth if keyfile is missing (#1494268)
- Do not segfault in audit code during cleanup (#1488083)
- Add WinSCP 5.10+ compatibility (#1496808)
- Clatch between ClientAlive and rekeying timeouts (#1480510)
- Exclude dsa and ed25519 from default proposed keys in FIPS mode (#1456853)
$

OpenSSH 7.4p1 ist von CVE-2017-15906 betroffen .

... es sei denn, der Distributor dieses OpenSSH-Pakets hat es gepatcht.

Ein Beispiel für einen Distributor, der dieses bestimmte CVE in einem betroffenen OpenSSH-Paket patcht , finden Sie in diesem Änderungsprotokolleintrag für 7.5p1 unter Ubuntu (er hat kein gepatchtes 7.4p1 verteilt, soweit ich es nach einem kurzen Blick sehen konnte):

openssh (1:7.5p1-10ubuntu0.1) artful-security; urgency=medium
  * SECURITY UPDATE: DoS via zero-length file creation in readonly mode
    - debian/patches/CVE-2017-15906.patch: disallow creation of empty files
      in sftp-server.c.
    - CVE-2017-15906

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Tue, 16 Jan 2018 08:28:47 -0500

Ähnliches gilt für Fedora (7.4p1) .

Leider scheint CentOS keine leicht zugängliche Datenbank mit Paketaktualisierungen zu haben (die ich finden konnte).

Laut Bugzilla ist der Sicherheitsfehler in der 7.6auf RHEL 7 basierenden Version des Systems behoben :

In Version behoben: openssh 7.6

Die Beschreibung auf RHEL CVE-2017-15906

Die Funktion process_open in sftp-server.c in OpenSSH vor 7.6 verhindert Schreibvorgänge im schreibgeschützten Modus nicht ordnungsgemäß, sodass Angreifer Dateien mit der Länge Null erstellen können.

Auch diese Informationen sind auf der verfügbaren OpenSSH 7.6 Release-Info

Änderungen seit OpenSSH 7.5

Sicherheit

• SFTP-Server (8): Im schreibgeschützten Modus erlaubte der SFTP-Server fälschlicherweise die Erstellung von Dateien mit der Länge Null. Berichtet von Michal Zalewski.

Der Fehler wurde am 10. April 2018 behoben für openssh-7.4p1: openssh-Sicherheit, Fehlerbehebung und Erweiterungsupdate