Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Ubuntu 16.04 LTS, SSH последней версии клиент и сервер, Comodo Hacker Guardian  (Прочитано 624 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Raibeart

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Преамбула:
Возникла необходимость получения лицензии, поэтому поступило указание выполнить проверку и обновление безопасности на сервере с Ubuntu 16.04 LTS.
После первой проверки Comodo Hacker Guardian на наличие уязвимостей были выставлены вполне очевидные требования - обновить SSH до минимум 7.6. Окей. Я делаю тестовый сервер, стягиваю с официального сайта OpenSSL openssl-1.0.2q и с Сайта OpenSSH openssh-7.9p1

Делаю установку по распланированному сценарию (кому не интересно, мотайте ниже)

Проверить версию SSH
$ ssh -V
текущая версия 6.2
Предварительно требуется обновить SSL до версии openssl-1.0.2q от 2018-Nov-20
1. Обновление openSSL
$ wget https://www.openssl.org/source/openssl-1.0.2q.tar.gz
$ tar -zxvf openssl-1.0.2q.tar.gz
$ cd openssl-1.0.2q
$ ./config
$ make
$ make test
$ make install
2. Установка libssl-dev
Информация: https://packages.ubuntu.com/search?suite=default&section=all&arch=any&keywords=libssl-dev&searchon=names
$ apt-get install libssl-dev
3. Установка OpenSSH:
$ wget http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz
$ tar -zxvf openssh-7.9p1.tar.gz
$ cd openssh-7.9p1
$ ./configure
$ make
$ sudo make install
Примечание.
при конфигурации SSH могут быть необходимы дополнительные пакеты. В моем случае
$ sudo apt install zlib1g-dev

Проверяю версию SSH
Получаю на выходе - 7.9p1


Фабула
Теперь описание ситуации
Вроде как рекомендация по устранению уязвимости выполнена
После очередной проверки Comodo Hacker Guarian (надо сказать, что ожидание бесплатной проверки занимает почти неделю!)
я снова получаю отчет, с уведомлением, что моя версия SSH точно ниже 7.3
Что за бред, уже собираюсь писать в поддержку, но... умные люди подсказывают выполнить dpkg -l | grep openssh

На выходе получаю информацию
ubuntu@nuuu:~$ dpkg -l | grep openssh
ii openssh-client 1:7.2p2-4ubuntu2.8 amd64 secure shell (SSH) client, for secure access to remote machines
ii openssh-server 1:7.2p2-4ubuntu2.8 amd64 secure shell (SSH) server, for secure access from remote machines
ii openssh-sftp-server 1:7.2p2-4ubuntu2.8 amd64 secure shell (SSH) sftp server module, for SFTP access from remote machines

Что не так?
Это защита стабильности Ubuntu LTS от действий дурачков (вроде меня)?

Как можно повысить версию SSH, чтобы я смог пройти тест Comodo Hacker Guardian?
Ваш опыт и версии очень ценны, так как я несколько запутался.




Оффлайн ALiEN175

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 4242
  • Capture the truth
    • Просмотр профиля
Установка из исходников (make install) не имеет никакого отношения к пакетной установке (dpkg).

ASUS P5K-C :: Intel Xeon E5450 :: 8 GB RAM :: Nvidia 8500GT :: XFCE
SAMSUNG N150 :: Intel Atom N450 :: 2 GB RAM :: Intel GMA3150 :: XFCE

Оффлайн Pilot6

  • Старожил
  • *
  • Сообщений: 13332
  • Xubuntu 18.04
    • Просмотр профиля
Raibeart,
Я не знаю что такое Comodo Hacker Guardian, но подход неверный проверять версии таким образом. Видимо эта штука не в курсе версий Ubuntu.

У вас стоит версия 1:7.2p2-4ubuntu2.8, которая скорее всего включает в себя устранение уязвимостей.
Так что вы походу просто ерундой занимаетесь.
Я в личке не консультирую. Вопросы задавайте на форуме.

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1428
    • Просмотр профиля

Оффлайн Raibeart

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Raibeart,
Я не знаю что такое Comodo Hacker Guardian, но подход неверный проверять версии таким образом. Видимо эта штука не в курсе версий Ubuntu.

У вас стоит версия 1:7.2p2-4ubuntu2.8, которая скорее всего включает в себя устранение уязвимостей.
Так что вы походу просто ерундой занимаетесь.

Comodo Hacker Guardian скорее всего в курсе версий. Раз она так лихо поминает их и где что исправлено и где какие уязвимости.
Но бы хотелось наверняка понимать, есть ли у сервера с SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.8 перечисленные ниже уязвимости или нет.
Я как раз и пришел на форум, чтобы понять ситуацию и спросить совета у более опытных пользователей. Как быть, если проверочная тулза хочет видеть именно версию не менее 7.6, а поставить я могу только 7.2p2. Я пока не вижу смысла обновляться до Bionic Beaver в котором как раз 7.6 и есть. Но если это единственный вариант, то напишите мне - да, это единственный вариант поднять версию SSH  :-\


Ссылка на https://www.hackerguardian.com - регистрация и получение 6 попыток тестирования безопасности сервера - бесплатно
Ниже один пункт из отчета Hacker Guardian по безопасности сервера
---
Status
Fail (This must be resolved for your device to be compliant).
Target name: XXX XXX XXX XXX
Plugin "OpenSSH < 7.3 Multiple Vulnerabilities"
Category "Misc. "
Priority "Urgent
Synopsis    The SSH server running on the remote host is affected by multiple vulnerabilities.
Description
   According to its banner, the version of OpenSSH running on the remote host is prior to 7.3. It is, therefore, affected by multiple vulnerabilities :
 - A local privilege escalation when the UseLogin feature     is enabled and PAM is configured to read .pam_environment     files from home directories. (CVE-2015-8325)
 - A flaw exists that is due to the program returning     shorter response times for authentication requests with     overly long passwords for invalid users than for valid     users. This may allow a remote attacker to conduct a     timing attack and enumerate valid usernames.
   (CVE-2016-6210)
 - A denial of service vulnerability exists in the     auth_password() function in auth-passwd.c due to a     failure to limit password lengths for password     authentication. An unauthenticated, remote attacker can     exploit this, via a long string, to consume excessive     CPU resources, resulting in a denial of service     condition. (CVE-2016-6515)

 - An unspecified flaw exists in the CBC padding oracle     countermeasures that allows an unauthenticated, remote     attacker to conduct a timing attack. (VulnDB 142343)
 - A flaw exists due to improper operation ordering of MAC     verification for Encrypt-then-MAC (EtM) mode transport     MAC algorithms when verifying the MAC before decrypting     any ciphertext. An unauthenticated, remote attacker can     exploit this, via a timing attack, to disclose sensitive     information. (VulnDB 142344)
Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

See also:
http://www.openssh.com/txt/release-7.3
https://marc.info/?l=openbsd-announce&m=147005433429403
    Risk factor
   CVE-2016-6515 - HIGH / CVSS BASE SCORE :7.8 CVSS2#(AV:N/AC:L/Au:N/C:N/I:N/A:C), CVE-2015-8325 - HIGH / CVSS BASE SCORE :7.2 CVSS2#(AV:L/AC:L/Au:N/C:C/I:C/A:C), CVE-2016-6210 - Medium / CVSS BASE SCORE :5.0 CVSS2#(AV:N/AC:L/Au:N/C:P/I:N/A:N)

Plugin
output
   Version source    : SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.8
 Installed version : 7.2p2
 Fixed version     : 7.3
   
Addition Information
CVE:
CVE-2015-8325
CVE-2016-6515
CVE-2016-6210
BID : 86187, 92212
Solution
   Upgrade to OpenSSH version 7.3 or later.



Пользователь добавил сообщение 15 Март 2019, 10:55:13:
ной установке (dpkg).

Так и есть. Это я осознаю уже. Правда
Установка из исходников (make install) не имеет никакого отношения к пакетной установке (dpkg).


« Последнее редактирование: 15 Март 2019, 10:55:13 от Raibeart »

Оффлайн Pilot6

  • Старожил
  • *
  • Сообщений: 13332
  • Xubuntu 18.04
    • Просмотр профиля
Но бы хотелось наверняка понимать, есть ли у сервера с SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.8 перечисленные ниже уязвимости или нет.
Ну так а в чем проблема?
http://changelogs.ubuntu.com/changelogs/pool/main/o/openssh/openssh_7.2p2-4ubuntu2.8/changelog

Пользователь добавил сообщение 15 Март 2019, 11:00:10:
Как быть, если проверочная тулза хочет видеть именно версию не менее 7.6, а поставить я могу только 7.2p2.
Как быть? Не пользоваться такой тупой тулзой.
Я в личке не консультирую. Вопросы задавайте на форуме.

Оффлайн Raibeart

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Но бы хотелось наверняка понимать, есть ли у сервера с SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.8 перечисленные ниже уязвимости или нет.
Ну так а в чем проблема?
http://changelogs.ubuntu.com/changelogs/pool/main/o/openssh/openssh_7.2p2-4ubuntu2.8/changelog

Пользователь добавил сообщение 15 Март 2019, 11:00:10:
Как быть, если проверочная тулза хочет видеть именно версию не менее 7.6, а поставить я могу только 7.2p2.
Как быть? Не пользоваться такой тупой тулзой.


Спасибо мастер! За терпение и разумные ответы.

 

Страница сгенерирована за 0.158 секунд. Запросов: 24.