[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:33495] [Translate] [SECURITY] [DSA-134-4] OpenSSH Remote Challenge Vulnerability



かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8

- ------------------------------------------------------------------------
Debian Security Advisory DSA-134-4                   security@debian.org
http://www.debian.org/security/                            Michael Stone
June 27, 2002
- ------------------------------------------------------------------------

Package        : ssh
Problem type   : リモートからの攻撃
Debian-specific: no
CERT advisory  : CA-2002-18

この勧告は DSA-134-3 の更新版です。この勧告には、全 Debian でインストー
ルされている OpenSSH (ssg パッケージ) に関する情報の更新が含まれています。
DSA-134-4 はこれまでの DSA-134 の各版に代わるものです。

ISS X-Force から OpenSSH の "Remote Challenge Vulnerability" に関する勧
告が公開されています。残念ながら、この勧告にはいささか不正確な点があり、
この脆弱性の影響に関して広範囲の混乱を引き起こしました。Debian で配布さ
れている OpenSSH には、この ISS 勧告で記載されている SKEY 及び BSD_AUTH
認証手法に関する脆弱性を持つものはありません。しかしながら、Debian には
引き続く OpenSSH チームからの勧告に記載された脆弱性を持つ、PAM 機能を含
む OpenSSH サーバが含まれています (これは、キーボード対話機能 [kbdint]
を用いて PAM を使って認証を行う機能の脆弱性です)。この脆弱性は OpenSSH
バージョン 2.3.1 から 3.3 までに影響があります。PAM/kbdint に関しては攻
撃手法は現時点では知られていませんが、詳細は既に公開されています。これら
の脆弱性は全て OpenSSH 3.4 で修正されました。

上記で概説した脆弱性の修正以外に、Debian の OpenSSH パッケージバージョン
3.3 以降では、新規に Niels Provos さんによる privilege separation 機能を
サポートしています。これは、ssh が殆どの作業を、分離した非特権モードのプ
ロセスで処理するというものです。これにより、この部分の処理部に何かの脆弱
性があっても、それは直接管理者特権の奪取につながらず、ただ chroot で制限
された別のアカウントへのアクセスを許すだけになります。従って Privilege
separation 機能は、将来の OpenSSH で発覚した問題の危険性を最小に抑えるの
に役立つでしょう。

Debian 2.2 (potato) では OpenSSH 1.2.3 ベースのパッケージを収録していま
したので、この勧告での脆弱性は持ちません。バージョン 1.2.3 をまだ用いて
いるユーザは、OpenSSH 3.4 へ緊急にアップグレードする必要はありません。
何回かの DSA-134 の勧告に従って、リリースされた OpenSSH 3.3 パッケージに
アップグレードしたユーザは、新バージョン 3.4 の OpenSSH パッケージにアッ
プグレードすべきです。バージョン 3.3 パッケージには脆弱性があるためです。
私たちは、OpenSSH 1.2.3 を使っているユーザは、privilege separation の利
点を得るために OpenSSH 3.4 への移行の検討をお勧めします。但し、現時点で
分かっている OpenSSH 1.2.3 の脆弱性があるわけではありませんし、以下で記
載した問題点をアップグレードの前によく読んでからにしてください。また、
potato にバックポートされた OpenSSH バージョン 2.0 以降を使っているユー
ザは、OpenSSH 3.4 に移行することを推奨します。

現在のプリリリース版の Debian (woody) には、OpenSSH バージョン 3.0.2p1
パッケージ (ssh) が収録されており、このバージョンには上記の PAM/kbdint
問題があります。同パッケージのユーザは OpenSSH 3.4 に移行して、
privilege separation を有効にすることを推奨します。アップグレードの前に
以下記載のリリースノートを注意して読んでください。ssh-krb5 (kerberos
認証をサポートした OpenSSH パッケージ) の更新版は、現在開発中です。すぐ
に OpenSSH パッケージをアップグレードすることが出来ないユーザは、脆弱性
を持つ機能を無効にすることで、判明している脆弱性に対処してください。具
体的には、以下の二行がコメントなしに、/etc/ssh/sshd_config に記載されて
いる状態で、ssh を再起動してください。

  PAMAuthenticationViaKbdInt no
  ChallengeResponseAuthentication no

また、PAMAuthenticationViaKbdInt や ChallengeResponseAuthentication エ
ントリがこれ以外に sshd_config 中にないことも確認してください。

以上がこの勧告での、脆弱性の説明に関する部分です。以下は OpenSSH 3.4 パ
ッケージと privilege separation 機能に関するリリースノートです。OpenSSH
3.4 パッケージの URL が最後に付けられています。

まず、このアップグレードでの問題点・留意点が幾つか有ります。

* このパッケージは privilege separation コードで使うため、新アカウント
 sshd を作成します。もし、sshd アカウントが存在していなかったら、新規に
 作成されます。また、アカウントが存在していた場合にはそれが再利用されま
 す。このような動作を行って欲しくない場合には、人手で修正する必要があり
 ます。

* (potato 版のみ) このアップデートでは SSL ライブラリ 0.9.6c のバックポ
 ートも追加されます。このため、libssl0.9.6 パッケージの更新も必要になり
 ます。

* (potato 版のみ) このアップデートは標準で SSH プロトコルバージョン 2 を
 使うようになっています。このため、RSA 認証を使うよう設定されている場合
 動作しません。これには、

  - ssh 起動時に -1 を追加して SSH プロトコル 1 と既存の鍵を引き続き使用
    できるようにするか
  - /etc/ssh/ssh_config または/および /etc/ssh/sshd_config の Protocol
    指定行を "Protocol 1,2" とし、プロトコル 2 の前にプロトコル 1 を試す
    ようにするか、
  - SSH プロトコル 2 用に新しい RSA か DSA 鍵をつくるか
 のどれかで対応下さい。

* sshd は標準で privilege separation を有効にするようになっています。ま
 た /etc/ssh/sshd_config 中で明示的に有効にしなくとも、有効化されていま
 す。

* ssh から rsh にフォールバックする機能はもう提供されていません。

* (potato 版のみ) privilege seperation は現時点では Linux カーネル 2.0
 では動作しません。

* privilege seperation は現時点では KeyboardInteractive 機能を使った PAM
 認証との組み合わせでは動作しません。

* privilege seperation により、root 権限で走ることを期待している一部の
 PAM モジュールが動かなくなります。

* 上記のいずれかの理由で privilege seperation が使えない場合、
 /etc/ssh/sshd_config ファイルに "UsePrivilegeSeparation no" の指定を加
 えてください。


また、以前の openssh 3.3p1 パッケージの問題の一部はこの勧告で修正されて
います (これは完全な changelog ではありません):

* (potato 版のみ) インストール時の質問 "[do you want to allow protocol 2
 only" の標準値は "yes" ではなくなりました。この質問に yes と答えて、
 sshd_config ファイルを作成作成することも併せ選択したユーザは、サーバに
 プロトコル 1 で接続できなくなります。この状況に落ち込んだ場合、プロトコ
 ル 1 を有効にする方法は /usr/doc/ssh/README.Debian を参照下さい。

* (potato 版のみ) ssh パッケージは rsh-server とコンフリクトしないように
 なりました。また、rsh の代替 (alternative) 機能も提供しません。

* ユーザがプロトコル 1 の鍵の生成を選択した場合に、インストールが失敗する
 件は修正されました。

再度繰り返しておきますと、このような大きな変更を、このようにテスト不足の
ままリリースせざるを得なかったことを遺憾に思っています。潜在的な重大さと、
問題の詳細が明らかになっていないことから、出来るだけ速く評価できるパッケ
ージを提供することが、ユーザにとって最良であると判断しました。新たな情報
が入り次第引き続き情報を提供していくと共に、この非常事態に対して作業を続
けていきます。

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

Debian GNU/Linux 2.2 愛称 potato
- ---------------------------------

  Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
 ャ向けにリリースされています。

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1.orig.tar.gz
      Size/MD5 checksum:   837668 459c1d0262e939d6432f193c7a4ba8a8
    http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1-0.0potato1.dsc
      Size/MD5 checksum:      871 dd0f18d576520cb7110f5791bce67708
    http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1-0.0potato1.diff.gz
      Size/MD5 checksum:    33706 ff798880b0835dcc77e42a2b9a075148
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz
      Size/MD5 checksum:  2153980 c8261d93317635d56df55650c6aeb3dc
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1.diff.gz
      Size/MD5 checksum:    37925 718ffc86669ae06b22d77c659400f4e8
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1.dsc
      Size/MD5 checksum:      784 b197de235e0d10f7bb66b4751808a033

  Architecture independent packages:

    http://security.debian.org/pool/updates/main/o/openssl/ssleay_0.9.6c-0.potato.1_all.deb
      Size/MD5 checksum:      976 6b39f5a320b1c8bdbba05e2c8b041b70

  alpha architecture (DEC Alpha)

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0potato1_alpha.deb
      Size/MD5 checksum:    34968 3e1792f1e5746c5ba7db3e025df60cbe
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0potato1_alpha.deb
      Size/MD5 checksum:   865634 52934fd0175f560735a9a4664363791a
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_alpha.deb
      Size/MD5 checksum:   589696 f0263fe6848b8bd09ad07a370ed6310a
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_alpha.deb
      Size/MD5 checksum:   746344 5a06b3db8f6eabf063c3099cb539ffe9
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_alpha.deb
      Size/MD5 checksum:  1548926 377068d478722db72c2fe52f3c23312b

  arm architecture (ARM)

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0potato1_arm.deb
      Size/MD5 checksum:    34202 ee81aaf2953dc0524878e906ff47a3f2
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0potato1_arm.deb
      Size/MD5 checksum:   664270 a61eb2a3cac706dcc6e6985bf7cf7817
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_arm.deb
      Size/MD5 checksum:   468106 c1dc499d7a06db8e831906f942d1192e
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_arm.deb
      Size/MD5 checksum:  1348440 7fb0b6f32b6eb2dfc78391a302bd0e02
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_arm.deb
      Size/MD5 checksum:   728932 0a9872153979c364d41208082c80772d

  i386 architecture (Intel ia32)

    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0potato1_i386.deb
      Size/MD5 checksum:   642966 b782a41d2d37003242835772cfc24c88
    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0potato1_i386.deb
      Size/MD5 checksum:    34500 ecb44504ec7c8f6470162f74d62b278f
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_i386.deb
      Size/MD5 checksum:  1290006 362451bafdf4fe2104e54a0336893519
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_i386.deb
      Size/MD5 checksum:   461994 a1c785ce6982b9031410362f124d873a
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_i386.deb
      Size/MD5 checksum:   730338 747306c7e4ef0b767cb2985b74047b05

  m68k architecture (Motorola Mc680x0)

    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0potato1_m68k.deb
      Size/MD5 checksum:   613530 fc862c3af90dffffc6c242e035a75f3f
    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0potato1_m68k.deb
      Size/MD5 checksum:    34394 5c0cdae07253816a06e38b62072a9fff

  powerpc architecture (PowerPC)

    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0potato1_powerpc.deb
      Size/MD5 checksum:   683270 33c05eb5d85edf818f5debf7e70d7f13
    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0potato1_powerpc.deb
      Size/MD5 checksum:    34200 50f02ba4453b05c82f4921649b900d95
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_powerpc.deb
      Size/MD5 checksum:   726602 93f47a77404ad9164565aac7ff901e43
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_powerpc.deb
      Size/MD5 checksum:  1384596 ff8ce54bc5fa3e0913ad1f359c36161b
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_powerpc.deb
      Size/MD5 checksum:   502776 a09451aa914242e199eb8e5de529ec26

  sparc architecture (Sun SPARC/UltraSPARC)

    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0potato1_sparc.deb
      Size/MD5 checksum:   690020 0d1648eaa5decb1b9dc179b3b139b2e4
    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0potato1_sparc.deb
      Size/MD5 checksum:    37052 d9e57346084641ee6ed13803e5758872
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_sparc.deb
      Size/MD5 checksum:  1338558 812adef25bd5abab26c47451dde84ba8
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_sparc.deb
      Size/MD5 checksum:   482712 d821248f15cc4e1fa6574e4cdfdf02e0
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_sparc.deb
      Size/MD5 checksum:   738056 d27a607775a80eb4aba24d29b35fe6ff


Debian GNU/Linux 3.0 愛称 woody
- ---------------------------------

  Woody は alpha, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc,
  s390 と sparc 向けにリリースの予定です。

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1.orig.tar.gz
      Size/MD5 checksum:   837668 459c1d0262e939d6432f193c7a4ba8a8
    http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1-0.0woody1.dsc
      Size/MD5 checksum:      815 2b3e82272d126f8f722a940f43d7f8a0
    http://security.debian.org/pool/updates/main/o/openssh/openssh_3.4p1-0.0woody1.diff.gz
      Size/MD5 checksum:    34048 6363fd68a6404a2af641bb07f46d2ba6

  alpha architecture (DEC Alpha)

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_alpha.deb
      Size/MD5 checksum:    35384 2e675e8257987714e031e985b01ca676
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_alpha.deb
      Size/MD5 checksum:   848660 e7d6c59e3536e5c41962002c3e442a2c


  arm architecture (ARM)

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_arm.deb
      Size/MD5 checksum:    34618 30e270a4276f09edc4cfdeba2d6393e0
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_arm.deb
      Size/MD5 checksum:   656864 04c71d6586dfd977f9adaa9c2b5da94a

  hppa architecture (HP PA RISC)

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_hppa.deb
      Size/MD5 checksum:    34978 b558d6f79876fb65f63c46b8cf60bb7c
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_hppa.deb
      Size/MD5 checksum:   754418 f471dedc5599abd8f2c8bbce7f4761e8

  i386 architecture (Intel ia32)

    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_i386.deb
      Size/MD5 checksum:   641268 9964e6000e78aa9fb68d5633becc1b84
    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_i386.deb
      Size/MD5 checksum:    34888 4c50455ef97e38c30c43a5eb5f32dfe9

  ia64 architecture (Intel ia64)

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_ia64.deb
      Size/MD5 checksum:    36392 7978c2995bb7985dbb7c854f0417b4e0
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_ia64.deb
      Size/MD5 checksum:  1001450 5d7e38d2631a5a249edfbbb7c3b810cd

  m68k architecture (Motorola Mc680x0)

    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_m68k.deb
      Size/MD5 checksum:   611224 6233339888e254a469a38b277a35f2b7
    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_m68k.deb
      Size/MD5 checksum:    34920 790fd8ba665277d21d54c8a443950fbe

  mips architecture (MIPS (Big Endian))

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_mips.deb
      Size/MD5 checksum:    34900 2600da5dc8ea7d339afe25f7c2a66c65
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_mips.deb
      Size/MD5 checksum:   728584 d12098d0b37c7ac0110cf730148b6dcb

  mipsel architecture (MIPS (Little Endian))

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_mipsel.deb
      Size/MD5 checksum:    34870 3cba136ff66798c32763a986480565db
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_mipsel.deb
      Size/MD5 checksum:   726062 b1a4e99482e493e88ec648b4046d543f

  powerpc architecture (PowerPC)

    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_powerpc.deb
      Size/MD5 checksum:   680140 4b5285ea717b81e6e6c41e2139b3d5d2
    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_powerpc.deb
      Size/MD5 checksum:    34630 697a13bc303bf3f6dec83a334a34b1ab

  s390 architecture (IBM S/390)

    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_s390.deb
      Size/MD5 checksum:    35248 ece9e2298f59df19af4212820e768556
    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_s390.deb
      Size/MD5 checksum:   669320 b87c69c0f4a273f80165774057d83ffe

  sparc architecture (Sun SPARC/UltraSPARC)

    http://security.debian.org/pool/updates/main/o/openssh/ssh_3.4p1-0.0woody1_sparc.deb
      Size/MD5 checksum:   684810 54999fa878b73b1915b7f536ef4f1ab5
    http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.4p1-0.0woody1_sparc.deb
      Size/MD5 checksum:    34686 d50d3087a60ff6bf9676bfa41e12f0cd

- --
- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org

------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------