質問編集履歴
3
表示がおかしかったので修正。
test
CHANGED
File without changes
|
test
CHANGED
@@ -82,6 +82,8 @@
|
|
82
82
|
|
83
83
|
まず、5.3のchangelogを確認したところ、以下の状態でした。
|
84
84
|
|
85
|
+
```
|
86
|
+
|
85
87
|
# rpm -q --changelog openssh | grep -i cve
|
86
88
|
|
87
89
|
- Fix for CVE-2016-6210: User enumeration via covert timing channel (#1357442)
|
@@ -118,7 +120,7 @@
|
|
118
120
|
|
119
121
|
- use fork+exec instead of system in scp - CVE-2006-0225 (#168167)
|
120
122
|
|
121
|
-
|
123
|
+
```
|
122
124
|
|
123
125
|
OpenSSH5.3における脆弱性として、「CVE-2014-9278」が指摘されていると言われたのですが、 このCVEがchangelogに書かれておりません。changelogに書かれていないCVEに対して、 適用されている・されていないはどのように判断したらいいのでしょうか。
|
124
126
|
|
2
changelogの記載
test
CHANGED
File without changes
|
test
CHANGED
@@ -73,3 +73,53 @@
|
|
73
73
|
・上位のopenssh-ldap7.4があったので、OpenSSH7.4p1をインストールしてみて、openssh-ldap7.4をインストールしても上記と同じく5.3p1が必要と言われた。
|
74
74
|
|
75
75
|
・CentOS7でOpenSSH7.4pの場合、openssh-ldap7.4pのインストールはできた。
|
76
|
+
|
77
|
+
|
78
|
+
|
79
|
+
### 脆弱性への対応がされているのではと指摘していただいたので調査しました
|
80
|
+
|
81
|
+
|
82
|
+
|
83
|
+
まず、5.3のchangelogを確認したところ、以下の状態でした。
|
84
|
+
|
85
|
+
# rpm -q --changelog openssh | grep -i cve
|
86
|
+
|
87
|
+
- Fix for CVE-2016-6210: User enumeration via covert timing channel (#1357442)
|
88
|
+
|
89
|
+
- CVE-2015-8325: privilege escalation via user's PAM environment and UseLogin=yes (1405374)
|
90
|
+
|
91
|
+
- CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317817)
|
92
|
+
|
93
|
+
- CVE-2016-1908: Prevent possible fallback from untrusted X11 forwarding (#1299048)
|
94
|
+
|
95
|
+
- CVE-2015-5352: XSECURITY restrictions bypass under certain conditions
|
96
|
+
|
97
|
+
- CVE-2015-5600: MaxAuthTries limit bypass via duplicates in KbdInteractiveDevices
|
98
|
+
|
99
|
+
- CVE-2015-6563: Privilege separation weakness related to PAM support
|
100
|
+
|
101
|
+
- CVE-2015-6564: Use-after-free bug related to PAM support
|
102
|
+
|
103
|
+
- prevent a server from skipping SSHFP lookup (#1081338) CVE-2014-2653
|
104
|
+
|
105
|
+
- ignore environment variables with embedded '=' or '\0' characters CVE-2014-2532
|
106
|
+
|
107
|
+
- change default value of MaxStartups - CVE-2010-5107 - #908707
|
108
|
+
|
109
|
+
- merged cve-2007_3102 to audit patch
|
110
|
+
|
111
|
+
- fixed audit log injection problem (CVE-2007-3102)
|
112
|
+
|
113
|
+
- CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
|
114
|
+
|
115
|
+
- CVE-2006-4924 - prevent DoS on deattack detector (#207957)
|
116
|
+
|
117
|
+
- CVE-2006-5051 - don't call cleanups from signal handler (#208459)
|
118
|
+
|
119
|
+
- use fork+exec instead of system in scp - CVE-2006-0225 (#168167)
|
120
|
+
|
121
|
+
|
122
|
+
|
123
|
+
OpenSSH5.3における脆弱性として、「CVE-2014-9278」が指摘されていると言われたのですが、 このCVEがchangelogに書かれておりません。changelogに書かれていないCVEに対して、 適用されている・されていないはどのように判断したらいいのでしょうか。
|
124
|
+
|
125
|
+
ご存知でしたらご教示ください。
|
1
ローカルで試した環境を追記。
test
CHANGED
File without changes
|
test
CHANGED
@@ -17,6 +17,10 @@
|
|
17
17
|
その際、ローカルで試して構築できたので検証環境で動作確認をしようとしたところopenssh-ldapがインストールできませんでした。
|
18
18
|
|
19
19
|
インストールしようとしたところ、OpenSSH5.3p1が必要とのことで前に進めません。
|
20
|
+
|
21
|
+
ローカルで試した環境はCentOS6.5、OpenSSH5.3p1、openssh-ldap5.3p1でした。
|
22
|
+
|
23
|
+
|
20
24
|
|
21
25
|
解決方法はありますでしょうか。
|
22
26
|
|
@@ -68,4 +72,4 @@
|
|
68
72
|
|
69
73
|
・上位のopenssh-ldap7.4があったので、OpenSSH7.4p1をインストールしてみて、openssh-ldap7.4をインストールしても上記と同じく5.3p1が必要と言われた。
|
70
74
|
|
71
|
-
・CentOS7でOpenSSH7.4の場合、openssh-ldapのインストールはできた。
|
75
|
+
・CentOS7でOpenSSH7.4pの場合、openssh-ldap7.4pのインストールはできた。
|