1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
|
#use wml::debian::translation-check translation="6822acd35ad6eb7044786082d7d0deb96747c492" translation_maintainer="Michelle Ribeiro"
<define-tag description>vulnerabilidade remota</define-tag>
<define-tag moreinfo>
<p>O ISS X-Force lançou um alerta a respeito do OpenSSH "Remote Challenge
Vulnerability". Infelizmente, o alerta estava incorreto em alguns pontos,
conduzindo a uma confusão generalizada sobre o impacto desta vulnerabilidade.
Nenhuma versão do OpenSSH no Debian foi afetada pela autenticação SKEY e BSD_AUTH
descrita no alerta do ISS. De qualquer forma, o Debian não inclui servidores OpenSSH
com a característica do PAM descrita como uma vulnerabilidade no último alerta do
grupo do OpenSSH. (A característica desta vulnerabilidade é a autenticação
usando o mecanismo kbdint.) Esta vulnerabilidade afeta as versões 2.3.1 até 3.3 do
OpenSSH. Nenhuma exploração é conhecida atualmente para a vulnerabilidade do
PAM/kbdint, mas os detalhes são públicos agora. Todas essas vulnerabilidades
foram corrigidas no OpenSSH 3.4.</p>
<p>Além das correções das vulnerabilidades acima, nosso pacote OpenSSH
versões 3.3 e superiores suportam a nova característica de separação de privilégio
do Niels Provos, que modifica o ssh para utilizar o processo de separação não
privilegiada no tratamento da maioria do trabalho. Vulnerabilidades nas partes
não privilegiadas do OpenSSH levará a uma conta não privilegiada e restrita a um
chroot, o que é melhor do que comprometer diretamente a conta de root. A separação
de privilégio deve auxiliar a minimizar os riscos de qualquer problema futuro no
OpenSSH. </p>
<p>O Debian 2.2 (potato) foi lançado com um pacote baseado no OpenSSH 1.2.3 e não é
vulnerável aos problemas cobertos por este alerta. Usuários que ainda executam
o pacote 1.2.3 do ssh não têm a necessidade de atualizar imediatamente para o OpenSSH
3.4. Usuários que atualizaram para o pacote do OpenSSH versão 3.3 lançado previamente
devido ao DSA-134 devem atualizar para a nova versão 3.4, já que a 3.3 é vulnerável.
Nós sugerimos que ainda executam a versão 1.2.3 considerem a atualização para a 3.4
para obter as vantagens da separação de privilégio. (Novamente, nós não temos
conhecimento de qualquer vulnerabilidade no OpenSSH 1.2.3. Por favor, leia cuidadosamente
as advertências listadas abaixo antes de realizar a atualização a partir do OpenSSH 1.2.3.)
Nós recomendamos que qualquer usuários executando uma versão portada do OpenSSH 2.0 ou superior
no potato atualize para o OpenSSH 3.4.</p>
<p>A atual versão do Debian (woody), que está em estado de pré-lançamento,
inclui uma versão do pacote 3.0.2p1 do OpenSSH (ssh), que é vulnerável ao
problema do PAM/kbdint descrito acima. Nós recomendamos que os
usuários atualizem para o OpenSSH 4.3 e habilitem a separação de privilégio.
Por favor, leia cuidadosamente as notas de lançamento antes de atualizar.
Atualizações do pacote ssh-krb5 (um pacote OpenSSH que suporta autenticação
kerberos) estão atualmente em desenvolvimento. Usuários que hoje não podem
atualizar seus pacotes OpenSSH podem trabalhar em cima das vulnerabilidades
conhecidas, desabilitando as características vulneráveis: certifique-se
de que as linhas abaixo estão descomentadas e presentes no /etc/ssh/sshd_config
e reinicie o ssh.</p>
<pre>
PAMAuthenticationViaKbdInt no
ChallengeResponseAuthentication no
</pre>
<p>Não devem haver entradas PAMAuthenticationViaKbdInt ou
ChallengeResponseAuthentication no sshd_config.</p>
<p>Isto conclui a seção sobre vulnerabilidades deste alerta. O que segue
são notas de lançamento relacionadas ao pacote OpenSSH 3.4 e a característica
de separação de privilégio. URLs dos pacotes OpenSSH 3.4 estão logo abaixo. </p>
<p>Algumas notas sobre possíveis assuntos relacionados a esta atualização:
</p>
<ul>
<li>Este pacote traz uma nova conta chamada `sshd' que é usada no código
de separação de privilégio. Se a conta ssh não existir, o pacote tentará
criar uma. Se a conta já existir, ele irá usá-la. Se você não quer que
isto ocorra, deverá corrigir manualmente.</li>
<li>(relevante somente para a potato) Esta atualização adiciona um backport
da versão 0.9.6c da biblioteca SSL. Isto significa que você deverá
atualizar o pacote libssl0.9.6 também. </li>
<li>(relevante somente para a potato) Esta atualização usa por padrão a
versão 2 do protocolo SSH (mesmo que você tenha configurado o suporte a versão 1
do protocolo SSH). Isto pode quebrar configurações existentes onde
a autenticação RSA é usada. Você deverá também
<ul>
<li>adicione -1 ao executar o ssh para manter o uso do protocolo 1 do SSH e suas chaves
existentes, ou
<li>altere a linha <kbd>Protocol</kbd> no arquivo <tt>/etc/ssh/ssh_config</tt>
e/ou
<tt>/etc/ssh/sshd_config</tt> para "<kbd>Protocol 1,2</kbd>"
para tentar o protocolo 1 antes do 2 ou
<li>criar novas chaves rsa ou dsa para o protocolo 2 do SSH
</ul>
</li>
<li>por padrão, o sshd habilita a separação de privilégio, mesmo que você
não tenha explicitamente habilitado no arquivo <tt>/etc/ssh/sshd_config</tt>.
<li>retornar do ssh para o rsh não está mais possível.</li>
<li>(relevante somente para a potato) Separação de privilégio atualmente não funciona
com kernels Linux 2.0.</li>
<li>A separação de privilégio atualmente não funciona com autenticação PAM através do mecanismo
KeyboardInteractive.</li>
<li>A separação de privilégio causa falha a alguns módulos PAM que serão necessários
para execução com privilégios de root.</li>
<li>Se, por alguma razão,você não pode usar a separação de privilégio neste momento devido
a alguma das coisas descritas acima, você pode desabilitar isto adicionando
"<kbd>UsePrivilegeSeparation no</kbd>" ao seu arquivo
<tt>/etc/ssh/sshd_config</tt>.</li>
</ul>
<p>Algumas características de pacotes anteriores ao OpenSSH 3.3p1 corrigidos
neste alerta (não se trata de changelog completo):</p>
<ul>
<li>(relevante somente para a potato) a questão feita durante a instalação,
"Você quer permitir somente o uso do protocolo 2" não será mais "sim" por padrão.
Usuários que responderam sim a esta questão e também escolheram recriar o arquivo
sshd_config não poderão mais conectar ao servidor via protocolo 1. Veja o arquivo
<tt>/usr/doc/ssh/README.Debian</tt> para obter instruções sobre como habilitar o
protocolo 1 se estiver nesta situação. Uma vez que o padrão nos pacotes da potato agora
é "não", isto não deve ser interessante para as pessoas que, no futuro, atualizarão
a partir da versão 1.2.3</li>
<li>(relevante somente para a potato) o pacote ssh não conflita mais com o rsh-server,
nem que fornece uma alternativa ao rsh</li>
<li>a instalação não falhará se os usuários escolherem gerar chaves com o protocolo 1
</li>
</ul>
<p>Novamente, nós lamentos ter que lançar pacotes com grandes mudanças e menos
testes com relação aos que são feitos normalmente; dada a potencial severidade
e natureza não especificada que esta ameaça trouxe originalmente,
nós decidimos que nossos usuários estariam melhor servidos tendo pacotes
disponíveis para atualização quanto mais rápido possível. Iremos enviar
informações adicionais assim que as tivermos e continuaremos a trabalhar
nisto.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-134.data"
|
