ISS X-Force udsendte en bulletin om en "Remote Challenge"-sårbarhed i OpenSSH. Desværre var bulletinen forkert på nogle områder, hvilket medførte udbredt forvirring om hvor alvorlig denne sårbarhed var. Ingen version af OpenSSH i Debian er påvirket godkendelsesmetoderne SKEY og BSD_AUTH som beskrevet i ISS-bulletinen. Men Debians distributioner indeholder OpenSSH-servere hvor PAM-funktionen beskrevet som sårbar i den senere bullutin som OpenSSH-teamet udsendte. (Den sårbar funktion er godkendelse ved hjælp af PAM via en tastaturinteraktiv mekanisme [kbdint].) Sårbarheden påvirker OpenSSH versionerne 2.3.1 til 3.3. Der er pt. ingen kendt udnyttelse af PAM/kbdint-sårbarheden, men oplysningerne om den er offentligt kendt. Alle disse sårbarheder er rettet i OpenSSH 3.4.
Ud over de rettede sårbarheder nævnt ovenfor, understøtter vore OpenSSH-pakker fra version 3.3 og højere den nye rettighedsseparationsfunktion (privilege separation) fra Niels Provos, som ændrer SSH til at bruge en separat upriviligeret proces til at håndtere det meste af arbejdet. Sårbarheder i de upriviligerede dele af OpenSSH vil føre til kompromittering af en upriviligeret konto som er begrænset til en tom chroot, fremfor en direkte root-udnyttelse. Rettighedsseparation skulle hjælpe med at minimere risikoen for evt. fremtidige kompromitteringer af OpenSSH.
Debian 2.2 (potato) blev udgivet med en ssh-pakke baseret på OpenSSH 1.2.3, og er ikke sårbar overfor sårbarhederne beskrevet i denne bulletin. Brugere som stadig kører med version 1.2.3 af ssh-pakken behøver ikke, omgående at opgradere til OpenSSH 3.4. Brugere som opgraderede til OpenSSH 3.3-pakkerne der blev udgivet i forbindelse med tidligere udgaver af DSA-134, bør opgradere til de nye version 3.4 af OpenSSH-pakkerne, da version 3.3-pakkerne er sårbare. Vi foreslår at brugere som kører med OpenSSH 1.2.3 overvejer at skifte til OpenSSH 3.4, for at drage nytte af rettighedsseparationsfunktionen. (Dog skal vi igen nævne at vi ikke har kendskab til nogen sårbarheder i OpenSSH 1.2.3. Læs venligst advarslerne herunder grundigt før du opgraderer fra OpenSSH 1.2.3.). Vi anbefaler at alle brugere som kører med en tilbageført version af OpenSSH version 2.0 eller højere på potato skifter til OpenSSH 3.4.
Den aktuelle prøveudgave af Debian Debian (woody) indeholder OpenSSH 3.0.2p1-pakken (ssh) som er særbar overfor PAM/kbdint-problemet beskrevet ovenfor. Vi anbefaler at brugerne opgraderer til OpenSSH 3.4 og slår rettighedsseparation til. Læs venligst udgivelsesbemærkningerne nedenfor omhyggeligt, før du opgraderer. Opdaterede pakker af ssh-krb5 (en OpenSSH-pakke som understøtter kerberos-godkendelse) er pt. under udvikling. Brugere som ikke kan opgradere deres OpenSSH-pakker kan omgå de kendte sårbarheder ved at slå de sårbare funktioner fra: sørg for at de følgende linier er ukommenterede og tilstede i /etc/ssh/sshd_config og genstart ssh
PAMAuthenticationViaKbdInt no ChallengeResponseAuthentication no
Der bør ikke være andre PAMAuthenticationViaKbdInt- eller ChallengeResponseAuthentication-linier i sshd_config.
Hermed slutter særbarhedsafsnittet i denne bulletin. Herunder er udgivelsesbemærkninger vedrørende OpenSSH 3.4-pakken og rettighedsseparationsfunktionen. URL'er til OpenSSH 3.4-pakkerne finder du nederst.
Nogle bemærkninger om mulige problemer i forbindelse med denne opgradering:
Nogle problemer fra tidligere OpenSSH 3.3p1-pakker, som er rettet ved udsendelsen af denne bulletin (ikke en fuldstændig ændringslog):
Vi beklager igen at det mod sædvane har været nødvendigt at udgive pakker med større ændringer og mindre aftestning; men den potentielle risiko og det ikke nærmere beskrevne oprindelige problem taget i betragtning, besluttede vi at vore brugere ville være bedst tjent med så hurtigt som muligt at få adgang til pakkerne. Vi vil udsende flere oplysninger så snart vi modtager dem, og vi vil fortsat arbejde på at løse de tilbageværende problemer.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin. (DSA-134-2) (DSA-134-3) (DSA-134-4)