[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:33484] [Translate] [SECURITY] [DSA-134-3] Unknown OpenSSH remote vulnerability
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-134-2 security@debian.org
http://www.debian.org/security/ Michael Stone
June 25, 2002
- ------------------------------------------------------------------------
Package : ssh
Problem type : リモートからの攻撃
Debian-specific: no
この勧告は DSA-134-2 の更新版です。更新内容は主にパッケージング関連の問
題についてです。すでに既報の DSA-134 に従って openssh インストールに成
功されている方は、この勧告を読み飛ばして貰って結構です。
Theo de Raadt さんにより、OpenBSD チームが ISS と共に OpenSSH (Secure
SHell プロトコルのフリーな実装) の、リモートから攻撃される脆弱性の対策
を行っているとのアナウンスがありました。関係者はこの脆弱性に関する詳細
の公表を拒んでおり、ただ最新版の 3.3 にアップグレードするよう勧告が出さ
れたのみです。
このバージョンは 2002-06-22 にリリースされたもので、ネットワーク処理コ
ードへの攻撃の効果を軽減するための新機能 privilege separation が標準で
有効になっています。残念ながら、このバージョンには、既に幾つかの問題が
知られています。
* ソースコードに特定の mmap 機能に依存している部分があるため、圧縮が動
作しない OS がある。
* PAM サポートが未完であり、一部の PAM モジュールが動作しない。
* キーボードを使った対話型の認証が、privilege separation 下では動作しな
い。これが Debian ユーザに一番影響が大きいと思われます、この問題により
PAM 対話型モジュールを必要とするような PAM モジュール (OPIE モジュール
など) が動作しません。
新たに加わった privilege separation 機能は Niels Provos さんによるもの
で、ssh が殆どの作業を、分離した非特権モードのプロセスで処理するという
ものです。これにより、この部分の処理部に何かの脆弱性があっても、それは
管理者特権の奪取につながらず、ただ chroot で制限された別のアカウントへ
のアクセスを許すだけになります。
Theo さんはこの新版が脆弱性を修正するものでなく、この新 privilege
separation コードにより、問題の程度を軽減するのみであると明言しています。
これは、上記の通り攻撃者が chroot された特別のアカウントまでしか得るこ
とができないためです。
問題の詳細が明らかにされていないため、報告された脆弱性による危険を最小
化する唯一採れる方法として、Debian プロジェクトでは最新版の可搬性のある
OpenSSH リリースである、バージョン 3.3p1 へやむなく移行します。
また、時間不足のため、これらのパッケージに対しては適切なだけの QA 評価
が行えていません。バグや、動かないといった問題を、すでにこの勧告に記載
されているほかにも含んでいる可能性があります。もし、そのような問題を発
見した場合には、バグレポートを出していただければ調査します。
また、このアップグレードでの問題点・留意点が幾つか有ります。
* このパッケージは privilege separation コードで使うため、新アカウント
sshd を作成します。もし、sshd アカウントが存在していなかったら、新規に
作成されます。また、アカウントが存在していた場合にはそれが再利用されま
す。このような動作を行って欲しくない場合には、人手で修正する必要があり
ます。
* (potato 版のみ) このアップデートでは SSL ライブラリ 0.9.6c のバックポ
ートも追加されます。このため、ssl パッケージの更新も必要になります。
* (potato 版のみ) このアップデートは標準で SSH プロトコルバージョン 2 を
使うようになっています。このため、RSA 認証を使うよう設定されている場合
動作しません。これには、
- ssh 起動時に -1 を追加して SSH プロトコル 1 と既存の鍵を引き続き使用
できるようにするか
- /etc/ssh/ssh_config または/および /etc/ssh/sshd_config の Protocol
指定行を "Protocol 1,2" とし、プロトコル 2 の前にプロトコル 1 を試す
ようにするか、
- SSH プロトコル 2 用に新しい RSA か DSA 鍵をつくるか
のどれかで対応下さい。
* sshd は標準で privilege separation を有効にするようになっています。ま
た /etc/ssh/sshd_config 中で明示的に有効にしなくとも、有効化されていま
す。繰り返すと、sshd_config で "UsePrivilegeSeparation no" と指定しない
限り、このパッケージでは privilege seperation を使用します。
* ssh が動作しない場合、圧縮機能を無効にする設定を試してください。私たち
はこの版に既に Solar Designer から提供された Linux 2.2 カーネルでの問題
を修正するパッチを含めていますが、これが十分でない場合があるかもしれま
せん。
* (potato 版のみ) privilege seperation は現時点では Linux カーネル 2.0
では動作しません。
* 何らかの理由で privilege seperation が使えない (カーネル 2.0 を使って
いるなど) が、既に openssh 3.3p1 パッケージをインストールしてしまってい
る場合、/etc/ssh/sshd_config ファイルに "UsePrivilegeSeparation no" の
指定を加えることによって従来と同じ動作をさせることが出来ます。*但し*
privilege seperation を無効化した場合、この勧告でふれられている脆弱性を
残したままになりますので、あくまで緊急避難として行ってください。
また、以前の openssh 3.3p1 パッケージの問題の一部はこの勧告で修正されて
います (これは完全な changelog ではありません):
* (potato 版のみ) インストール時の質問 "[do you want to allow protocol 2
only" の標準値は "yes" ではなくなりました。この質問に yes と答えて、
sshd_config ファイルを作成作成することも併せ選択したユーザは、サーバに
プロトコル 1 で接続できなくなります。この状況に落ち込んだ場合、プロトコ
ル 1 を有効にする方法は /usr/doc/ssh/README.Debian を参照下さい。
* (potato 版のみ) ssh パッケージは rsh-server とコンフリクトしないように
なりました。また、rsh の代替 (alternative) 機能も提供しません。
* ユーザがプロトコル 1 の鍵の生成を選択した場合に、インストールが失敗する
件は修正されました。
再度繰り返しておきますと、このような大きな変更を、このようにテスト不足の
ままリリースせざるを得なかったことを遺憾に思っています。潜在的な重大さと、
問題の詳細が明らかになっていないことから、出来るだけ速く評価できるパッケ
ージを提供することが、ユーザにとって最良であると判断しました。新たな情報
が入り次第引き続き情報を提供していくと共に、この非常事態に対して作業を続
けていきます。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
Debian GNU/Linux 2.2 愛称 potato
- ---------------------------------
Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
ャ向けにリリースされています。
現在、m68k 向けパッケージはまだ準備できていません。
ソースアーカイブ:
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1-0.0potato6.diff.gz
Size/MD5 checksum: 33694 8b83048b2bd7838703aaba40ae119810
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1.orig.tar.gz
Size/MD5 checksum: 831189 226fdde5498c56288e777c7a697996e0
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1-0.0potato6.dsc
Size/MD5 checksum: 871 bc2713452395932dc716df3cdb55a905
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz
Size/MD5 checksum: 2153980 c8261d93317635d56df55650c6aeb3dc
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1.diff.gz
Size/MD5 checksum: 37925 718ffc86669ae06b22d77c659400f4e8
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1.dsc
Size/MD5 checksum: 784 b197de235e0d10f7bb66b4751808a033
Architecture independent packages:
http://security.debian.org/pool/updates/main/o/openssl/ssleay_0.9.6c-0.potato.1_all.deb
Size/MD5 checksum: 976 6b39f5a320b1c8bdbba05e2c8b041b70
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0potato6_alpha.deb
Size/MD5 checksum: 863748 ae52add3e16fa3ac768c6f90851061ef
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0potato6_alpha.deb
Size/MD5 checksum: 33204 b37dfcf4220fa0f56621aea9ea57a29e
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_alpha.deb
Size/MD5 checksum: 589696 f0263fe6848b8bd09ad07a370ed6310a
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_alpha.deb
Size/MD5 checksum: 746344 5a06b3db8f6eabf063c3099cb539ffe9
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_alpha.deb
Size/MD5 checksum: 1548926 377068d478722db72c2fe52f3c23312b
arm architecture (ARM)
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0potato6_arm.deb
Size/MD5 checksum: 661912 e0f863a5d9ea719440ddfd7cd46e0f2b
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0potato6_arm.deb
Size/MD5 checksum: 32424 2127978be04489fddd033dcbe1b8200c
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_arm.deb
Size/MD5 checksum: 468106 c1dc499d7a06db8e831906f942d1192e
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_arm.deb
Size/MD5 checksum: 1348440 7fb0b6f32b6eb2dfc78391a302bd0e02
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_arm.deb
Size/MD5 checksum: 728932 0a9872153979c364d41208082c80772d
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0potato6_i386.deb
Size/MD5 checksum: 32722 5ae7edb8eb38e4b01eeae2b080953dc7
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0potato6_i386.deb
Size/MD5 checksum: 640376 7b9926d3bb35f65150e7f2be01da8b66
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_i386.deb
Size/MD5 checksum: 1290006 362451bafdf4fe2104e54a0336893519
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_i386.deb
Size/MD5 checksum: 461994 a1c785ce6982b9031410362f124d873a
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_i386.deb
Size/MD5 checksum: 730338 747306c7e4ef0b767cb2985b74047b05
powerpc architecture (PowerPC)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0potato6_powerpc.deb
Size/MD5 checksum: 32418 26a91d2f170eff0dbd68810de496bffd
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0potato6_powerpc.deb
Size/MD5 checksum: 680472 c3d312c2bc0866c7ed66be67964386d1
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_powerpc.deb
Size/MD5 checksum: 726602 93f47a77404ad9164565aac7ff901e43
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_powerpc.deb
Size/MD5 checksum: 1384596 ff8ce54bc5fa3e0913ad1f359c36161b
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_powerpc.deb
Size/MD5 checksum: 502776 a09451aa914242e199eb8e5de529ec26
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0potato6_sparc.deb
Size/MD5 checksum: 35274 fc253370c6c9982015458b5dccc73f66
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0potato6_sparc.deb
Size/MD5 checksum: 687500 ad2e133fa6e3b1878f0a099748c541e6
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.1_sparc.deb
Size/MD5 checksum: 1338558 812adef25bd5abab26c47451dde84ba8
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.1_sparc.deb
Size/MD5 checksum: 482712 d821248f15cc4e1fa6574e4cdfdf02e0
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.1_sparc.deb
Size/MD5 checksum: 738056 d27a607775a80eb4aba24d29b35fe6ff
Debian GNU/Linux 3.0 愛称 woody
- ---------------------------------
Woody は alpha, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc,
s390 と sparc 向けにリリースの予定です。
現在、m68k 向けパッケージはまだ準備できていません。
ソースアーカイブ:
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1-0.0woody4.dsc
Size/MD5 checksum: 815 9b2d9ce52d08a1578edbfda9617231d9
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1.orig.tar.gz
Size/MD5 checksum: 831189 226fdde5498c56288e777c7a697996e0
http://security.debian.org/pool/updates/main/o/openssh/openssh_3.3p1-0.0woody4.diff.gz
Size/MD5 checksum: 34040 778ca8992b1bf7057d07f12018fb5bb3
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody4_alpha.deb
Size/MD5 checksum: 844780 48ba4028203c023213718f87b1bfa537
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody4_alpha.deb
Size/MD5 checksum: 33604 15a9c4de1b4957c6a30046adc085adac
arm architecture (ARM)
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody4_arm.deb
Size/MD5 checksum: 653722 1a468897f1b4752fce130ae3f12034b2
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody4_arm.deb
Size/MD5 checksum: 32830 34b2f0346a718c69aeaa87a15ca6773b
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody4_i386.deb
Size/MD5 checksum: 33114 74c669d2646536853e044b13e62a2567
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody4_i386.deb
Size/MD5 checksum: 638128 728e289d717ecc7c3a55d45091f3449e
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody4_ia64.deb
Size/MD5 checksum: 998226 2fe4594fc8c748745f4f066a99195c04
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody4_ia64.deb
Size/MD5 checksum: 34568 9bd4d13b6e9c364f650b0ab99bf007ba
mipsel architecture (MIPS (Little Endian))
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody4_mipsel.deb
Size/MD5 checksum: 722614 b31db1cd4c9599aa9ba83c904c5c39d7
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody4_mipsel.deb
Size/MD5 checksum: 33082 6f7ac7c2ecbd39ceb5d243854197f1c5
powerpc architecture (PowerPC)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody4_powerpc.deb
Size/MD5 checksum: 32856 b6827c0d4bef215ab5661fa16b637f32
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody4_powerpc.deb
Size/MD5 checksum: 677164 143803bd2413ee67886706246717734d
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/o/openssh/ssh-askpass-gnome_3.3p1-0.0woody4_sparc.deb
Size/MD5 checksum: 32902 5af151b5d6ccf438fd6e07c763de3d4a
http://security.debian.org/pool/updates/main/o/openssh/ssh_3.3p1-0.0woody4_sparc.deb
Size/MD5 checksum: 681752 d1b5c205d58d495573b51a98a13a96df
- --
- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------