1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
|
#use wml::debian::translation-check translation="02539375cf4e79fedbabd127ef30c14bb4541366" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>Команда безопасности Qualys обнаружила две уязвимости в коде для автоматической
настройки сети в клиенте OpenSSH (реализации набора протоколов
SSH).</p>
<p>Автоматическая настройка сети в SSH позволяет клиенту в том случае, если соединение SSH
неожиданно прерывается, восстановить его, учитывая, что это также
поддерживается сервером.</p>
<p>Сервер OpenSSH не поддерживает автоматическую настройку сети, но клиент OpenSSH
поддерживает её (несмотря на то, что об этом ничего нет в документации), и она включена
по умолчанию.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0777">CVE-2016-0777</a>
<p>Утечка информации (раскрытие содержимого памяти) может использоваться злоумышленником,
владеющим сервером SSH, для того, чтобы получить из памяти клиента
чувствительных данных, включая, например, закрытые ключи.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0778">CVE-2016-0778</a>
<p>Переполнение буфера (приводящее к утечке файлового дескриптора) может
использоваться злоумышленником, владеющим сервером SSH, но из-за другой ошибки в коде,
эту уязвимость нельзя использовать. Эта уязвимость может использоваться лишь при
определённых условиях (не при использовании настроек по умолчанию). В частности,
при использовании ProxyCommand, ForwardAgent или ForwardX11.</p></li>
</ul>
<p>Данное обновление безопасности полностью отключает код для автоматической настройки сети
в клиенте OpenSSH.</p>
<p>Кроме того, обновление отключает автоматическую настройку сети путём добавления (недокументированной)
опции <q>UseRoaming no</q> в глобальный файл настройки /etc/ssh/ssh_config, либо в
пользовательские настройки в ~/.ssh/config, либо же передавая -oUseRoaming=no
в командной строке.</p>
<p>Пользователям с закрытыми ключами, не защищёнными паролями, в особенности в случае,
если используются настройки без интерактивного режима (автоматизированные задачи, использующие
ssh, scp, rsync+ssh и т. д.) рекомендуется обновить свои ключи в том случае,
если они подключаются к серверу SSH, которому они не доверяют.</p>
<p>Дополнительные сведения об определении этой атаки и способов её недопущения
будут доступны в рекомендации по безопасти Qualys.</p>
<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 1:6.0p1-4+deb7u3.</p>
<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1:6.7p1-5+deb8u1.</p>
<p>В тестируемом (stretch) и нестабильном (sid) выпусках эти
проблемы будут исправлены в более поздней версии.</p>
<p>Рекомендуется обновить пакеты openssh.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3446.data"
# $Id$
|