Ubuntu 12.04、PCI 和 CVE-2015-5352

我遇到了同样的问题。在等待 ubuntu 修复的同时，我还决定与 CSA 一起解决这个问题；原因如下。

如果我理解了所提出的问题，那么只有当受影响计算机上的 root 用户被允许转发 X11 连接时，才会出现此问题。在我的环境中，受影响计算机上的相同 root 用户有权访问该计算机可访问的任何系统上的 root，因此，如果他们进行恶意活动，此潜在漏洞既不会帮助也不会阻碍该用户。

其次，如果问题取决于转发 X11 连接的能力，那么使用“ForwardX11Trusted no”和“ForwardX11Timeout 0”禁用此功能是否应该是一个合适的配置修复？这是我当前的配置，因为我没有安装 X11，所以似乎合适。

将此问题添加到 PCI 合规性扫描仪中的人的研究确实很差。在我的扫描中，问题描述如下：

概要

远程主机上运行的 SSH 服务器受到多个漏洞的影响。

描述

根据其横幅显示，远程主机上运行的 OpenSSH 版本早于 6.9。因此，它受到以下漏洞的影响：

'channels.c' 文件中的 x11_open_helper() 函数存在缺陷，允许在 'ForwardX11Timeout' 过期后允许连接。远程攻击者可利用此漏洞绕过超时检查和 XSECURITY 限制。(CVE-2015-5352)

通过增加故障延迟、存储密码的加盐哈希值以及使用时间安全比较函数来修复代理锁定中的弱点，解决了各种问题。

处理不正确的模式长度时存在越界读取错误。远程攻击者可利用此问题导致拒绝服务或泄露内存中的敏感信息。

解析“EscapeChar”配置选项时存在越界读取错误。

推荐

升级到 OpenSSH 6.9 或更高版本。

让我们分解一下：

x11_open_helper() 函数中存在缺陷（CVE-2015-5352）

此漏洞影响 SSH客户，而不是 SSH服务器 （描述）. 使用 X11 转发连接到恶意 SSH 服务器时，具有 X 环境的 SSH 客户端很容易受到攻击。扫描程序本质上是扫描服务器不是客户... 在大多数情况下，X 甚至不会安装在远程服务器上，并且只会与受信任的服务器建立连接，因此此漏洞所需的场景无法复制。

通过修复代理锁定的弱点解决了各种问题

再次强调，ssh-agent 是一个客户程序，因此这个错误不会影响被扫描服务器的安全性，并且升级到 OpenSSH 6.9 不会采取任何措施来防止该错误被利用，除非服务器已经被入侵并被用于使用 ssh-agent 登录到其他机器。

处理不正确的模式长度时存在越界读取错误

查看源代码后发现，包含该漏洞的代码甚至在 OpenSSH 6.6 中都不存在，因此 OpenSSH 6.8 漏洞不适用。 补丁改变了方法的使用方式match_pattern_list()，但是此方法在 OpenSSH 6.6 中不存在。

解析“EscapeChar”配置选项时存在越界读取错误

这漏洞仅与 'ssh' 相关客户程序命令行或配置文件解析，而不是 sshd 服务器，因此与运行 sshd 的私有系统无关。此外，这列在发行说明作为一个 Bug，而不是一个安全问题，所以我怀疑它除了在使用不正确的参数时在客户端机器上导致段错误之外，还能做其他事情。

升级到 OpenSSH 6.9 或更高版本。

总而言之，由于所有这些客户问题你应该将你的服务器升级到 OpenSSH 6.9。考虑到大多数发行版还不支持 6.9，这绝对是愚蠢的建议。我的建议是继续运行发行版支持的最新 OpenSSH，使用标准和安全存储库以及实际上已经移植的修复程序适用的而不是仅仅因为 PCI 扫描仪这么说就维护您自己的 OpenSSH 构建。

我发现这篇博客文章列出了手动安装 OpenSSH 6.7 的步骤。我按照说明使用OpenSSH 6.9反而。