Avamar: un escáner de red informa una vulnerabilidad de seguridad de OpenSSH en el proxy de Avamar
Resumen: Avamar: un escáner de red informa una vulnerabilidad de seguridad de OpenSSH en el proxy de Avamar.
Síntomas
Un escáner de seguridad de red identificó los siguientes problemas con el servicio OpenSSH del proxy de Avamar:
1.CVE-2016-2183: "Ataques de cumpleaños de SSH en cifrados de bloques de 64 bits (SWEET32)"
2.CVE-2016-10009, CVE-2016-10010, CVE-2016-10011, CVE-2016-10012, CVE-2016-8858: "Múltiples vulnerabilidades en OpenSSH 7.4 que no están instaladas en el sistema".
Causa
1. / etc/ssh/sshd_config en el proxy NO tiene activado ningún cifrado DES/3DES.
2. El proxy de Avamar se ejecuta en SUSE Linux Enterprise Server 12 SP5 (o SLES12 SP4 en versiones anteriores de proxy) y está equipado con OpenSSH versión 7.2.
Según la documentación proporcionada en la sección "Información adicional" de esta base de conocimientos, esto no es vulnerable.
Resolución
ssh -c 3des-cbc 193proxy.example.com
NOTA: Adjust "193proxy.example.com" es el nombre de host del proxy o use localhost si se ejecuta el comando en el proxy.
La conexión debe fallar y, a continuación, el servicio SSHD muestra los cifrados permitidos. A continuación, se muestra un ejemplo de resultado:
Unable to negotiate with ::1 port 22: no matching cipher found. Their offer: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
2. Para confirmar que la versión del paquete de OpenSSH sea superior a 7.2p2-74.45.1 run this command:
rpm -qa | grep '^openssh-[7,f]' |sed 's/\.x86_64$//'
Salida saludable:
admin@193proxy:~/>: rpm -qa | grep '^openssh-[7,f]' |sed 's/\.x86_64$//'
openssh-7.2p2-78.7.1
openssh-fips-7.2p2-78.7.1
Información adicional
1. Sweet32 - SUSE: CVE-2016-2183
2. Versión: SUSE: CVE-2016-10009, CVE-2016-10010, CVE-2016-10011, CVE-2016-10012y CVE-2016-8858