use*_*205 7 openssh vulnerability
我使用的是 OpenSSH 版本 7.4p1,在 CVE 数据库中我发现 cpe:/a:openbsd:openssh:7.4:p1 容易受到 CVE-2017-15906 https://www.cvedetails.com/cve/CVE-2017- 15906/。
这是否意味着我的版本肯定会受到影响,或者这个版本是否有可能具有相同的编号但已经打过补丁?我怎样才能验证这一点?
Jak*_*uje 11
CentOS 只是重新构建了 RHEL,因此您的系统是安全的,如果您更新到openssh-7.4p1-16.el7CentOS 7 中附带的或类似的版本。
Red Hat访问门户中有CVE数据库:
https://access.redhat.com/security/cve/cve-2017-15906
带有修复问题的勘误表的链接以及修复特定问题的软件包列表:
https://access.redhat.com/errata/RHSA-2018:0980
同样,您可以获得已安装软件包的更新日志,它应该列出与此 CVE 编号相关的内容。
Discaimer:我在这个 RHEL 版本中修复了那个包。
在 7.4p1-16 中得到修复,早在 2017 年 11 月。
$ rpm -q openssh-server
openssh-server-7.4p1-16.el7.x86_64
$ rpm -q --changelog openssh-server | grep CVE-2017-15906
- Fix for CVE-2017-15906 (#1517226)
$ rpm -q --changelog openssh-server | head
* Fri Nov 24 2017 Jakub Jelen <jjelen@redhat.com> - 7.4p1-16 + 0.10.3-2
- Fix for CVE-2017-15906 (#1517226)
* Mon Nov 06 2017 Jakub Jelen <jjelen@redhat.com> - 7.4p1-15 + 0.10.3-2
- Do not hang if SSH AuthorizedKeysCommand output is too large (#1496467)
- Do not segfault pam_ssh_agent_auth if keyfile is missing (#1494268)
- Do not segfault in audit code during cleanup (#1488083)
- Add WinSCP 5.10+ compatibility (#1496808)
- Clatch between ClientAlive and rekeying timeouts (#1480510)
- Exclude dsa and ed25519 from default proposed keys in FIPS mode (#1456853)
$
OpenSSH 7.4p1受 CVE-2017-15906 影响。
...除非该 OpenSSH 软件包的发行商已经修补了它。
发行商在受影响的 OpenSSH 软件包中修补此特定 CVE 的示例可以在 Ubuntu 上的 7.5p1 变更日志条目中找到(据我简单浏览后所见,他们尚未分发修补过的 7.4p1):
openssh (1:7.5p1-10ubuntu0.1) artful-security; urgency=medium
* SECURITY UPDATE: DoS via zero-length file creation in readonly mode
- debian/patches/CVE-2017-15906.patch: disallow creation of empty files
in sftp-server.c.
- CVE-2017-15906
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Tue, 16 Jan 2018 08:28:47 -0500
不幸的是,CentOS 似乎没有一个易于访问的软件包更新数据库(我可以找到)。
| 归档时间: |
|
| 查看次数: |
2856 次 |
| 最近记录: |