Q&A
回答ではないのですが、CentOS6標準のミドルウェアについては、見た目上のバージョンは古いものの、脆弱性の対応はされているはずですよ。2020年11月30日まで更新されるはずです。
前提・実現したいこと
CentOS6.5
OpenSSH7.1p1
発生している問題
CentOS6系で導入されているOpenSSH(5.3p1)に脆弱性があるとのことで、7.1をインストールしました。
当初はそのままでも大丈夫でしたが、ユーザ管理のためにLDAPを導入しようと考えております。
その際、ローカルで試して構築できたので検証環境で動作確認をしようとしたところopenssh-ldapがインストールできませんでした。
インストールしようとしたところ、OpenSSH5.3p1が必要とのことで前に進めません。
ローカルで試した環境はCentOS6.5、OpenSSH5.3p1、openssh-ldap5.3p1でした。
解決方法はありますでしょうか。
# yum install openssh-ldap Loaded plugins: versionlock Setting up Install Process Resolving Dependencies --> Running transaction check ---> Package openssh-ldap.x86_64 0:5.3p1-123.el6_9 will be installed --> Processing Dependency: openssh = 5.3p1-123.el6_9 for package: openssh-ldap-5.3p1-123.el6_9.x86_64 --> Finished Dependency Resolution Error: Package: openssh-ldap-5.3p1-123.el6_9.x86_64 (base) Requires: openssh = 5.3p1-123.el6_9 Installed: openssh-7.1p1-1.x86_64 (installed) openssh = 7.1p1-1 Available: openssh-5.3p1-123.el6_9.x86_64 (base) openssh = 5.3p1-123.el6_9 You could try using --skip-broken to work around the problem You could try running: rpm -Va --nofiles --nodigest
試したこと
・OpenSSH7.1に対応したopenssh-ldapが存在するか確認したところ存在せず。
・上位のopenssh-ldap7.4があったので、OpenSSH7.4p1をインストールしてみて、openssh-ldap7.4をインストールしても上記と同じく5.3p1が必要と言われた。
・CentOS7でOpenSSH7.4pの場合、openssh-ldap7.4pのインストールはできた。
脆弱性への対応がされているのではと指摘していただいたので調査しました
まず、5.3のchangelogを確認したところ、以下の状態でした。
# rpm -q --changelog openssh | grep -i cve - Fix for CVE-2016-6210: User enumeration via covert timing channel (#1357442) - CVE-2015-8325: privilege escalation via user's PAM environment and UseLogin=yes (1405374) - CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817) - CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048) - CVE-2015-5352: XSECURITY restrictions bypass under certain conditions - CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices - CVE-2015-6563: Privilege separation weakness related to PAM support - CVE-2015-6564: Use-after-free bug related to PAM support - prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653 - ignore environment variables with embedded '=' or '\0' characters CVE-2014-2532 - change default value of MaxStartups - CVE-2010-5107 - #908707 - merged cve-2007_3102 to audit patch - fixed audit log injection problem (CVE-2007-3102) - CVE-2006-5794 - properly detect failed key verify in monitor (#214641) - CVE-2006-4924 - prevent DoS on deattack detector (#207957) - CVE-2006-5051 - don't call cleanups from signal handler (#208459) - use fork+exec instead of system in scp - CVE-2006-0225 (#168167)
OpenSSH5.3における脆弱性として、「CVE-2014-9278」が指摘されていると言われたのですが、 このCVEがchangelogに書かれておりません。changelogに書かれていないCVEに対して、 適用されている・されていないはどのように判断したらいいのでしょうか。
ご存知でしたらご教示ください。
ありがとうございます。
確かに、パッチは対応してくれている気がしますね。changelogの内容を追記させていただきました。
が、未だに解決はしておりません。。。
回答1件
0
ベストアンサー
https://access.redhat.com/security/cve/cve-2014-9278 によると、RHEL 6 の openssh は "Not affected" だそうです。
投稿2018/08/24 15:33
総合スコア12146
ありがとうございます。非常に有用な情報です。
ただ、今のところそういった方法で1つ1つ調査していく方法しかないのでしょうか。
今のところ、当時の最新版(7.1p1)をビルドしてインストールしているのですが、ディストリビューションで管理しているOpenSSHの方がパッチ適用されていて安全だというのであればそちらに戻そうかとも思っております。
> 今のところそういった方法で1つ1つ調査していく方法しかないのでしょうか。
Changelog や Errata に記載がないものは 1つ 1つ調べるしかないと思います。
> ディストリビューションで管理しているOpenSSHの方がパッチ適用されていて安全だというのであれば
どちらとも言えません。
バージョンが古いことで脆弱性に該当しないということもありますし、逆に、深刻度の低い脆弱性は修正が遅れたり、修正されないこともあります。
コンパイル済みのものが用意されるメリットをとるか、自前で手間をかけてでも最新にするか、という選択になるかと思います。
ありがとうございました。
脆弱性の確認はVlusにて実施するようにします。
あなたの回答
tips
プレビュー
