1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>Команда Qualys Security обнаружила две уязвимости в коде автоматической настройки
сети в клиенте OpenSSH (реализации набора протоколов
SSH).</p>
<p>Автоматическая настройка сети SSH позволяет клиенту в случаях, когда SSH-соединение
прерывается неожиданно, восстанавливать его при условии того, что сервер тоже
поддерживает эту возможность.</p>
<p>Сервер OpenSSH не поддерживает автоматическую настройку сети, а клиент OpenSSH
поддерживает эту возможность (даже несмотря на то, что она не описана в документации), в клиенте
она включена по умолчанию.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0777">CVE-2016-0777</a>
<p>Утечка информации (раскрытие содержимого памяти) может использоваться SSH-сервером
злоумышленника для того, чтобы клиент передал чувствительные данные из
клиентской памяти, включая закрытые ключи.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0778">CVE-2016-0778</a>
<p>Переполнение буфера (приводящее к утечке файловых дескрипторов) может
использоваться SSH-сервером злоумышленника, но из-за другой ошибки в коде
оно, вероятно, может использоваться только при определённых условиях (не
при настройках по умолчанию) при использовании ProxyCommand, ForwardAgent или
ForwardX11.</p></li>
</ul>
<p>Данное обновление безопасности полностью отключает код автоматической настройки сети в
клиенте OpenSSH.</p>
<p>Кроме того, автоматическую настройку можно отключить, добавив (не описанную в документации)
опцию <q>UseRoaming no</q> в глобальный файл /etc/ssh/ssh_config, либо в
пользовательские настройки в ~/.ssh/config, либо передав -oUseRoaming=no
в командной строку.</p>
<p>Пользователям, использующим закрытые ключи без паролей, особенно при неинтерактивной
настройке (автоматические задачи, использующие ssh, scp, rsync+ssh и т. д.), рекомендуется
обновить свои ключи в том случае, если они подключались к SSH-серверу, которому они
не доверяют.</p>
<p>Дополнительную информацию об определении атак этого вида и средствах минимазации рисков можно найти
в рекомендации по безопасности Qualys.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-387.data"
# $Id$
|
