前提・実現したいこと
CentOS6.5
OpenSSH7.1p1
発生している問題
CentOS6系で導入されているOpenSSH(5.3p1)に脆弱性があるとのことで、7.1をインストールしました。
当初はそのままでも大丈夫でしたが、ユーザ管理のためにLDAPを導入しようと考えております。
その際、ローカルで試して構築できたので検証環境で動作確認をしようとしたところopenssh-ldapがインストールできませんでした。
インストールしようとしたところ、OpenSSH5.3p1が必要とのことで前に進めません。
ローカルで試した環境はCentOS6.5、OpenSSH5.3p1、openssh-ldap5.3p1でした。
解決方法はありますでしょうか。
# yum install openssh-ldap Loaded plugins: versionlock Setting up Install Process Resolving Dependencies --> Running transaction check ---> Package openssh-ldap.x86_64 0:5.3p1-123.el6_9 will be installed --> Processing Dependency: openssh = 5.3p1-123.el6_9 for package: openssh-ldap-5.3p1-123.el6_9.x86_64 --> Finished Dependency Resolution Error: Package: openssh-ldap-5.3p1-123.el6_9.x86_64 (base) Requires: openssh = 5.3p1-123.el6_9 Installed: openssh-7.1p1-1.x86_64 (installed) openssh = 7.1p1-1 Available: openssh-5.3p1-123.el6_9.x86_64 (base) openssh = 5.3p1-123.el6_9 You could try using --skip-broken to work around the problem You could try running: rpm -Va --nofiles --nodigest
試したこと
・OpenSSH7.1に対応したopenssh-ldapが存在するか確認したところ存在せず。
・上位のopenssh-ldap7.4があったので、OpenSSH7.4p1をインストールしてみて、openssh-ldap7.4をインストールしても上記と同じく5.3p1が必要と言われた。
・CentOS7でOpenSSH7.4pの場合、openssh-ldap7.4pのインストールはできた。
脆弱性への対応がされているのではと指摘していただいたので調査しました
まず、5.3のchangelogを確認したところ、以下の状態でした。
# rpm -q --changelog openssh | grep -i cve - Fix for CVE-2016-6210: User enumeration via covert timing channel (#1357442) - CVE-2015-8325: privilege escalation via user's PAM environment and UseLogin=yes (1405374) - CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817) - CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048) - CVE-2015-5352: XSECURITY restrictions bypass under certain conditions - CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices - CVE-2015-6563: Privilege separation weakness related to PAM support - CVE-2015-6564: Use-after-free bug related to PAM support - prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653 - ignore environment variables with embedded '=' or '\0' characters CVE-2014-2532 - change default value of MaxStartups - CVE-2010-5107 - #908707 - merged cve-2007_3102 to audit patch - fixed audit log injection problem (CVE-2007-3102) - CVE-2006-5794 - properly detect failed key verify in monitor (#214641) - CVE-2006-4924 - prevent DoS on deattack detector (#207957) - CVE-2006-5051 - don't call cleanups from signal handler (#208459) - use fork+exec instead of system in scp - CVE-2006-0225 (#168167)
OpenSSH5.3における脆弱性として、「CVE-2014-9278」が指摘されていると言われたのですが、 このCVEがchangelogに書かれておりません。changelogに書かれていないCVEに対して、 適用されている・されていないはどのように判断したらいいのでしょうか。
ご存知でしたらご教示ください。
回答1件
あなたの回答
tips
プレビュー