Security advisories für FreeBSD

asg

push it, don´t hype
Security advisories für FreeBSD (SSH)

SECURITY ALERT

Unter FreeBSD (und NetBSD) gibt es ein Sicherheitsproblem mit OpenSSH, sog. "OpenSSH buffer management error"
Es wird angeraten das jeder sein OS umgehend patchen soll.

Workaround

1. Deaktivieren von sshd:
# kill `cat /var/run/sshd.pid`

2. rc.conf == sshd_enable="NO"

3. Deinstallation des OpenSSH Ports wenn dieser installiert sein sollte.


Problemlösung

1. Upgrade des Systems auf 4-STABLE oder RELENG_5_1,
oder
2. RELENG_4_8, oder RELENG_4_7 security branch datiert auf den Tag nach der Korrektur (5.1-RELEASE-p3, 4.8-RELEASE-p5, oder
4.7-RELEASE-p15)

3. FreeBSD Systeme vor dem Tag der Korrektur:
Folgende Patches einspielen:

[FreeBSD 4.3 bis 4.5]
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C.../buffer45.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C...fer45.patch.asc

[FreeBSD 4.6 und später, FreeBSD 5.0 und später]
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C.../buffer46.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C...fer46.patch.asc

Wie wird der Patch eingespielt

# cd /usr/src
# patch < /path/to/sshd.patch
# cd /usr/src/secure/lib/libssh
# make depend && make all install
# cd /usr/src/secure/usr.sbin/sshd
# make depend && make all install
# cd /usr/src/secure/usr.bin/ssh
# make depend && make all install

sshd nach dem update neu starten.

Für alle die OpenSSH aus den Ports nutzen:

1. Upgrade der gesammten Portscollection und Neubau des OpenSSH Ports.
oder
2. Deinstallation des alten packages und Installation des neuen packages von hier:

[i386]
ftp://ftp.FreeBSD.org/pub/FreeBSD/p...table/security/

Mehr Details gibt es unter http://www.bsdforums.org/forums/showthread.php?threadid=14213



Details

Revision Numbers für jede Datei die im FreeBSD base system korrigiert wurde

- -------------------------------------------------------------------------
[Base system]
RELENG_4
src/crypto/openssh/buffer.c 1.1.1.1.2.5
src/crypto/openssh/version.h 1.1.1.1.2.11
RELENG_5_1
src/UPDATING 1.251.2.4
src/crypto/openssh/buffer.c 1.1.1.6.4.1
src/crypto/openssh/version.h 1.20.2.1
src/sys/conf/newvers.sh 1.50.2.5
RELENG_5_0
src/UPDATING 1.229.2.18
src/crypto/openssh/buffer.c 1.1.1.6.2.1
src/crypto/openssh/version.h 1.18.2.1
src/sys/conf/newvers.sh 1.48.2.13
RELENG_4_8
src/UPDATING 1.73.2.80.2.7
src/crypto/openssh/buffer.c 1.1.1.1.2.4.4.1
src/crypto/openssh/version.h 1.1.1.1.2.10.2.1
src/sys/conf/newvers.sh 1.44.2.29.2.6
RELENG_4_7
src/UPDATING 1.73.2.74.2.18
src/crypto/openssh/buffer.c 1.1.1.1.2.4.2.1
src/crypto/openssh/version.h 1.1.1.1.2.9.2.1
src/sys/conf/newvers.sh 1.44.2.26.2.17
RELENG_4_6
src/UPDATING 1.73.2.68.2.46
src/crypto/openssh/buffer.c 1.1.1.1.2.3.4.2
src/crypto/openssh/version.h 1.1.1.1.2.8.2.2
src/sys/conf/newvers.sh 1.44.2.23.2.35
RELENG_4_5
src/UPDATING 1.73.2.50.2.47
src/crypto/openssh/buffer.c 1.1.1.1.2.3.2.1
src/crypto/openssh/version.h 1.1.1.1.2.7.2.2
src/sys/conf/newvers.sh 1.44.2.20.2.31
RELENG_4_4
src/UPDATING 1.73.2.43.2.48
src/crypto/openssh/buffer.c 1.1.1.1.2.2.4.1
src/crypto/openssh/version.h 1.1.1.1.2.5.2.3
src/sys/conf/newvers.sh 1.44.2.17.2.39
RELENG_4_3
src/UPDATING 1.73.2.28.2.35
src/crypto/openssh/buffer.c 1.1.1.1.2.2.2.1
src/crypto/openssh/version.h 1.1.1.1.2.4.2.3
src/sys/conf/newvers.sh 1.44.2.14.2.25
[Ports]
ports/security/openssh-portable/Makefile 1.73
ports/security/openssh-portable/files/patch-buffer.c 1.1
ports/security/openssh/Makefile 1.120
ports/security/openssh/files/patch-buffer.c 1.1
- -------------------------------------------------------------------------

Branch Version string
- -------------------------------------------------------------------------
HEAD OpenSSH_3.6.1p1 FreeBSD-20030916
RELENG_4 OpenSSH_3.5p1 FreeBSD-20030916
RELENG_5_1 OpenSSH_3.6.1p1 FreeBSD-20030916
RELENG_4_8 OpenSSH_3.5p1 FreeBSD-20030916
RELENG_4_7 OpenSSH_3.4p1 FreeBSD-20030916
RELENG_4_6 OpenSSH_3.4p1 FreeBSD-20030916
RELENG_4_5 OpenSSH_2.9 FreeBSD localisations 20030916
RELENG_4_4 OpenSSH_2.3.0 FreeBSD localisations 20030916
RELENG_4_3 OpenSSH_2.3.0 green@FreeBSD.org 20030916
- -------------------------------------------------------------------------

Um den Versionsstring von OpenSSH herauszubekommen folgenden Befehl eingeben:

% /usr/sbin/sshd -\?
 
Hallo,

bei mir steht jetzt OpenSSH_3.5p1 FreeBSD-20030924 ist das damit gepatcht?


Ich habe das ganze system neu gebaut.

Gibt es noch eine Möglickeit das System zu patchen ohne das ein lokaler Zugang zur Verfügung steht?

Gruß

Steffen
 
Back
Top