ISS X-Force släppte en bulletin om ”fjärranropssårbarhet” i OpenSSH: Tyvärr var bulletinen felaktig på några punkter, vilket ledde till utbredd förvirring om hur allvarlig denna sårbarhet var. Ingen version av OpenSSH på Debian påverkas av SKEY- och BSD_AUTH-autentiseringsmetoderna som beskrivs i ISS-bulletinen. Debian innehåller dock OpenSSH-servrar med den PAM-funktion som beskrivs i en senare bulletin från OpenSSH-gruppen. (Denna sårbarhet är autentisering med PAM via en tangentbordsinteraktiv mekanism [kbdint].) Denna sårbarhet påverkar OpenSSH version 2.3.1 till 3.3. Inget sätt att utnyttja PAM-/kbdint-sårbarheten är för närvarande känd, men detaljerna är allmänt kända. Alla dessa sårbarheter rättades i OpenSSH 3.4.
Förutom de rättade sårbarheter som beskrivs ovan innehåller våra OpenSSH-paket version 3.3 eller högre den nya privilegiedelningsfunktionen av Niels Provos, vilken ändrar ssh så att det använder en icke-privilegierad process för att hantera det mesta. Sårbarheter i den icke-privilegierade delen av OpenSSH leder till att ett icke-privilegierat konto som är begränsat till en tom chroot komprometteras, istället för en direkt root-kompromettering. Privilegiedelningen mildrar risken hos framtida OpenSSH-komprometteringar.
Med Debian 2.2 (potato) kom ett ssh-paket baserat på OpenSSH 1.2.3, och är inte sårbart för de sårbarheter som beskrivits i denna bulletin. Användare som fortfarande kör ett ssh-paket av version 1.2.3 behöver inte omedelbart uppgradera till OpenSSH 3.4. Användare som uppgraderade till de OpenSSH version 3.3-paket som släpptes med tidigare versioner av DSA-134 bör uppgradera till de nya OpenSSH version 3.4-paketen, då version 3.3-paketen är sårbara. Vi föreslår att användare som kör OpenSSH 1.2.3 bör överväga att byta till OpenSSH 3.4 för att dra nytta av privilegiedelningsfunktionen. (Dock skall vi återigen nämna att vi inte känner till någon sårbarhet i OpenSSH 1.2.3. Läs noggrant genom varningarna nedan innan ni uppgraderar från OpenSSH 1.2.3.) Vi rekommenderar att alla som kör en bakåtanpassad version av OpenSSH 2.0 eller högre på potato uppgraderar till OpenSSH 3.4.
Den aktuella uttestningsutgåvan av Debian (woody) innehåller ett paket med OpenSSH version 3.0.2p1 (ssh), vilket är sårbart för PAM-/kbdint-problemet som beskrivs ovan. Vi rekommenderar att användare uppgraderar till OpenSSH 3.4 och aktiverar privilegiedelning. Läs noggrant genom varningarna nedan innan ni uppgraderar. Uppdaterade paket för ssh-krb5 (ett OpenSSH-paket som stöder autentisering via kerberos) är för närvarande under utveckling. Användare som inte kan uppgradera sina OpenSSH-paket kan gå runt de kända sårbarheterna genom att slå av de sårbara funktionerna: se till att följande rader finns och inte är utkommenterade i /etc/ssh/sshd_config och starta om ssh:
PAMAuthenticationViaKbdInt no ChallengeResponseAuthentication no
Det bör inte finnas några fler PAMAuthenticationViaKbdInt eller ChallengeResponseAuthentication i sshd_config.
Härmed slutar den del av bulletinen som hanterar sårbarheten. Det som följer är versionsfakta gällande OpenSSH 3.4-paketet och privilegiedelningsfunktionen. URLer för OpenSSH 3.4-paketen finns nederst.
Information om möjliga problem med denna uppgradering:
Några problem med tidigare openssh 3.3p1-paket som rättats i denna bulletin (inte en komplett ändringslogg):
Återigen ber vi om ursäkt för att vi måste släppa paket med större ändringar och mindre testning än vad vi normalt gör; givet den möjliga allvarlighetsgraden och icke-specifika natur hos det ursprungliga hotet valde vi att våra användare bäst betjänades genom att ha paket tillgängliga för utvärdering så fort som möjligt. Vi kommer sända ut ytterligare information när den når oss, och kommer fortsätta arbeta på de kvarvarande problemen.
MD5-kontrollsummor för dessa filer finns i originalbulletinen. (DSA-134-2) (DSA-134-3) (DSA-134-4)