Устранение багов CVE-0216-0777 и CVE-0216-0778 клиента OpenSSH
FreeBSD, Linux, SSH | Комментировать запись
14 января 2016 года проект OpenSSH сообщил об уязвимости клиентской стороны OpenSSH, которая распространяется на версии 5.4 – 7.1. Она является причиной потенциальной утечки информации о ключе с клиента SSH, что подвергает пользователей атакам man-in-the-middle.
Что это значит?
Обмен ключами происходит во время подключения SSH-клиента к серверу. Вредоносный сервер может использовать добавленную на клиент OpenSSH функцию роуминга (UseRoaming), чтобы вызвать утечку памяти клиента и получить пользовательские ключи.
Кто подвержен этой уязвимости?
Данной уязвимости подвержены клиенты OpenSSH (не серверы) самых современных операционных систем, в том числе Linux, FreeBSD и Mac OSX. Также уязвимость может присутствовать в OpenSSH для Windows, однако не влияет на Windows при использовании PuTTY.
Это значит, что обновление OpenSSH на виртуальном выделенном сервере не поможет (поскольку это серверная, а не клиентская сторона). Нужно обновить клиент OpenSSH на локальном компьютере. Для полной защиты рекомендуется сгенерировать новые пары ключей и загрузить на серверы новые открытые ключи; подробнее об этом можно прочесть ниже.
Устранение уязвимости
Для устранения этой проблемы на пострадавших дистрибутивах уже разработано множество патчей и обновлений, однако её можно устранить и вручную: для этого нужно просто отключить новую функцию UseRoaming, ставшую источником проблемы. В системах OS X, Linux и BSD для этого нужно добавить одну строку в настройки SSH.
Для Linux и FreeBSD
Запустите следующую команду, чтобы добавить новую строку в конфигурации:
echo 'UseRoaming no' | sudo tee -a /etc/ssh/ssh_config
Для Mac OSX
Чтобы добавить новую строку в конфигурации, используйте следующую команду:
echo "UseRoaming no" >> ~/.ssh/config
Сессии
После этого нужно закрыть и снова открыть все сессии SSH, чтобы обновить их настройки.
Генерирование новых ключей
Если вы думаете, что ваши закрытые ключи уже попали в руки злоумышленников, или же вы просто хотите полностью обновить защиту SSH, сгенерируйте новые ключи и загрузите открытые ключи на сервер. Подробные инструкции можно найти в руководстве «Как настроить SSH-ключи»
Другую полезную информацию ищите по следующим ссылкам:
Tags: OpenSSH, SSH