我的系统容易受到 AcceptEnv 上的 OpenSSH 通配符漏洞 (CVE-2014-2532) 的影响。
我尝试将 centos 的 openssh 更新到版本 6.6,但我无法获取该版本的存储库[原文如此]。
/编辑/ PCI-DSS 合规性是这个问题的驱动因素。
答案1
PCI 要求是:
通过安装适用的软件,确保所有系统组件和软件免受已知漏洞的影响供应商提供的安全补丁。
只是随机下载不受支持的替代软件版本不是您应该做的......
这供应商回应是:
红帽安全响应团队已将此问题评级为“低安全影响”,未来的更新可能会解决此缺陷。
所以目前没有 Red Hat 修复,因此 CentOS 也没有修复。
进行低风险评估的原因是 Red Hat 和 CentOS 附带的默认配置不包含通配符 ( *) AcceptEnv 值。
现在的问题是,您是否会因为更改了供应商提供的默认值而容易受到攻击?如果是这样,您能否删除/重写自定义 AcceptEnv 通配符,使您的系统再次安全?
或者审计员只是由 openssh 软件版本号触发,你根本就没有脆弱性吗?
因为后者经常发生......
答案2
我比你有一些问题。
我的解决方案是激活我机器中的 CentOS 连续存储库。
yum install centos-release-cr
CR原因描述如下:http://centosnow.blogspot.com/2014/10/continuous-release-repository-rpms-for.html
您可以使用以下 yum 命令安装存储库:
yum install centos-release-cr
之后,我能够安装最后一个具有 CVE 解析的 openssh 软件包 (5.3p1-104.el6)。
有关持续发布的更多信息:http://wiki.centos.org/AdditionalResources/Repositories/CR