Устранение багов CVE-0216-0777 и CVE-0216-0778 клиента OpenSSH

Published by Leave your thoughts

14 января 2016 года проект OpenSSH сообщил об уязвимости клиентской стороны OpenSSH, которая распространяется на версии 5.4 — 7.1. Она является причиной потенциальной утечки информации о ключе с клиента SSH, что подвергает пользователей атакам man-in-the-middle.

Что это значит?

Обмен ключами происходит во время подключения SSH-клиента к серверу. Вредоносный сервер может использовать добавленную на клиент OpenSSH функцию роуминга (UseRoaming), чтобы вызвать утечку памяти клиента и получить пользовательские ключи.

Кто подвержен этой уязвимости?

Данной уязвимости подвержены клиенты OpenSSH (не серверы) самых современных операционных систем, в том числе Linux, FreeBSD и Mac OSX. Также уязвимость может присутствовать в OpenSSH для Windows, однако не влияет на Windows при использовании PuTTY.

Это значит, что обновление OpenSSH на виртуальном выделенном сервере не поможет (поскольку это серверная, а не клиентская сторона). Нужно обновить клиент OpenSSH на локальном компьютере. Для полной защиты рекомендуется сгенерировать новые пары ключей и загрузить на серверы новые открытые ключи; подробнее об этом можно прочесть ниже.

Устранение уязвимости

Для устранения этой проблемы на пострадавших дистрибутивах уже разработано множество патчей и обновлений, однако её можно устранить и вручную: для этого нужно просто отключить новую функцию UseRoaming, ставшую источником проблемы. В системах OS X, Linux и BSD для этого нужно добавить одну строку в настройки SSH.

Для Linux и FreeBSD

Запустите следующую команду, чтобы добавить новую строку в конфигурации:

echo 'UseRoaming no' | sudo tee -a /etc/ssh/ssh_config

Для Mac OSX

Чтобы добавить новую строку в конфигурации, используйте следующую команду:

echo "UseRoaming no" >> ~/.ssh/config

Сессии

После этого нужно закрыть и снова открыть все сессии SSH, чтобы обновить их настройки.

Генерирование новых ключей

Если вы думаете, что ваши закрытые ключи уже попали в руки злоумышленников, или же вы просто хотите полностью обновить защиту SSH, сгенерируйте новые ключи и загрузите открытые ключи на сервер. Подробные инструкции можно найти в руководстве «Как настроить SSH-ключи»

Другую полезную информацию ищите по следующим ссылкам:

Tags: ,

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>