[转] OpenSSH缓冲区管理操作远程溢出漏洞（包括AS3）

platinum

以下是我今天看到的，AS3的SSH是3.6.1p2

我找到一个3.8的下载地址
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.8p1.tar.gz
（2004-2-24）

刚刚发现一个最新的
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.8.1p1.tar.gz
（2004-4-19）

绿盟科技紧急通告(Alert2003-06)
Nsfocus安全小组(security@nsfocus.com)
http://www.nsfocus.com
发布日期：2003-09-17

CVE CAN ID：CAN-2003-0693

受影响的软件及系统：
====================
所有低于OpenSSH 3.7的版本均受影响:

    OpenSSH OpenSSH 3.6.1 p2
    OpenSSH OpenSSH 3.6.1 p1
    OpenSSH OpenSSH 3.5
    OpenSSH OpenSSH 3.4 p1
    OpenSSH OpenSSH 3.4
    OpenSSH OpenSSH 3.3 p1
    OpenSSH OpenSSH 3.3
    OpenSSH OpenSSH 3.2.3 p1
    OpenSSH OpenSSH 3.2.2 p1
    OpenSSH OpenSSH 3.2
    OpenSSH OpenSSH 3.1 p1
    OpenSSH OpenSSH 3.1
    OpenSSH OpenSSH 3.0.2
    OpenSSH OpenSSH 3.0.1
    OpenSSH OpenSSH 3.0

综述：
======
3.7版本之前的OpenSSH包含一个缓冲区管理错误，远程攻击者可以利用这个漏洞进行拒绝服务或者可能以OpenSSH进程权限在系统上执行任意指令。

根据目前的信息显示此漏洞将大多数情况下将只造成拒绝服务攻击，但也有消息说已经有可以执行指令的攻击代码在流传，因此我们强烈建议用户立刻检查一下您的系统是否受此漏洞影响，并按照我们提供的解决方法予以解决。

分析：
======
OpenSSH是一种开放源码的SSH协议的实现，初始版本用于OpenBSD平台，现在已经被移植到多种Unix/Linux类操作系统下。

3.7版本之前的OpenSSH包含一个缓冲区管理错误，远程攻击者可能利用这个漏洞进行拒绝服务或者可能以OpenSSH进程权限在系统上执行任意指令。

当OpenSSH接收到一个长度超过已分配缓冲区大小的数据包时会试图重新分配一块大的内存，这时记录当前缓冲区大小的变量值会相应增加，新长度值会被检查是否符合要求，如果检查失败会调用fatal()来清理并退出，在某些情况下，执行清理工作的代码可能会按新缓冲区长度的大小去释放那个实际并没有扩大的缓冲区，结果导致缓冲区外的数据被重写为NULL值。这样可能造成拒绝服务攻击或执行任意指令。

解决方法：
==========
如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

  * 在边界或者主机防火墙上过滤不可信任IP对SSH服务的访问请求，通常是22/TCP端口。

  * 使用权限分隔来使影响最小化

   运行OpenSSH 3.2或更高版本的系统管理员可以通过在sshd配置文件中使用
   "UsePrivilegeSeparation"配置选项来降低这个漏洞的影响。一般来讲，可以通过
   创建privsep用户，设置受限制的(chroot)环境，然后向/etc/ssh/sshd_config中
   添加以下命令行来实现上述操作:

     UsePrivilegeSeparation yes

   这个临时解决方案不能防止攻击者利用这个漏洞，但由于权限分隔机制，攻击者会被局限在仅有受限权限的受限制的chroot环境中。这个临时解决方案不能防止漏洞导致拒绝服务。不是所有的操作系统厂商都执行了权限分隔代码，在某些操作系统中代码还可能限制OpenSSH的功能。

厂商状态：
==========
OpenSSH
目前厂商已经在3.7及以后版本的软件中修补了此漏洞，请到厂商的主页下载ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/
其他系统厂商的安全补丁请在"参考链接"中查询。

附加信息：
==========
参考链接：

http://www.nsfocus.com/index.php?act=sec_bug&do=view&bug_id=5405
http://www.openssh.com/txt/buffer.adv
http://www.cert.org/advisories/CA-2003-24.html
http://www.linux-mandrake.com/en/security/2003/2003-090.php
http://www.debian.org/security/2002/dsa-382
http://www.redhat.com/support/errata/RHSA-2003-279.html
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:12.openssh.asc

wallace888

发布日期：2003-09-17  我没有看错吧？

platinum

是啊，很早的漏洞了，不升级不行啊，AS3的OPENSSH也是有漏洞的

好好先生

偶装的是3.7的。

platinum

这个帖子前面“保留”是什么意思？

不想发言

[quote]原帖由 "platinum"]这个帖子前面“保留”是什么意思？[/quote 发表：

可能是版主觉得它离精华还差那么一点儿距离，但是还有一定的意义吧。

allan0909

别人利用这个漏洞的时候机器会不会有报警信息？

llzqq

如果AS 3也有此漏洞，怎么在AS 3的UPDATE中此升级包呢？

好好先生

[quote]原帖由 "llzqq"]如果AS 3也有此漏洞，怎么在AS 3的UPDATE中此升级包呢？[/quote 发表：

不见得非要在update中升级，偶是用tar包升级的。

llzqq

偶安装openssh-3.8p1.tar.gz失败，提示找不到execvp