내 시스템은 AcceptEnv의 OpenSSH 와일드카드 취약점(CVE-2014-2532)에 취약합니다.
Centos용 openssh를 버전 6.6으로 업데이트하려고 시도했지만 해당 버전에 대한 저장소를 가져올 수 없습니다[sic].
/편집하다/ PCI-DSS 규정 준수가 이 문제의 원인입니다.
답변1
PCI 요구사항은 다음과 같습니다.
해당 소프트웨어를 설치하여 모든 시스템 구성 요소와 소프트웨어가 알려진 취약점으로부터 보호되는지 확인하세요.공급자가 제공보안 패치.
지원되지 않는 대체 소프트웨어 버전을 무작위로 다운로드하는 것은 당신이 해야 할 일이 아닙니다...
이것공급업체 대응예:
Red Hat 보안 연구소에서는 이 문제를 "보안에 미치는 영향이 낮음"으로 평가했으며 향후 업데이트에서 이 결함을 해결할 수도 있습니다.
따라서 현재 Red Hat 수정 사항이 없으므로 CentOS 수정 사항도 없습니다.
이러한 낮은 위험 평가의 이유는 Red Hat 및 CentOS와 함께 제공되는 기본 구성에 와일드카드( *) AcceptEnv 값이 포함되어 있지 않기 때문입니다.
이제 문제는 벤더가 제공하는 기본값을 변경했기 때문에 취약한가 하는 것입니다. 그렇다면 사용자 정의 AcceptEnv 와일드카드를 제거/다시 작성하여 시스템을 다시 안전하게 만들 수 있습니까?
아니면 감사자는 openssh 소프트웨어 버전 번호에 의해서만 트리거되며 전혀 취약하지 않습니까?
후자가 자주 발생하기 때문에 ...
답변2
나는 당신보다 몇 가지 문제가 있습니다.
내 솔루션은 내 컴퓨터에서 CentOS 연속 저장소를 활성화하는 것이었습니다.
yum install centos-release-cr
CR의 이유는 다음과 같습니다.http://centosnow.blogspot.com/2014/10/continuous-release-repository-rpms-for.html
다음 yum 명령을 사용하여 저장소를 설치할 수 있습니다.
yum install centos-release-cr
그 후 CVE 해상도(5.3p1-104.el6)로 마지막 openssh 패키지를 설치할 수 있었습니다.
진행 중인 릴리스에 대한 추가 정보:http://wiki.centos.org/AdditionalResources/Repositories/CR