检测

MagicLinux 4openssh-5.3p1-104.AXS4 (AXSA:2014-596:02)

medium Nessus 插件 ID 291469

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-596:02 公告中提及的多个漏洞的影响。

 描述:
 SSH (Secure SHell) 是一个用于登录远程计算机并在其上执行命令的程序。SSH 预期取代 rlogin 和 rsh并通过不安全的网络在两个不受信任的主机之间提供安全的加密通信。 X11 连接和任意 TCP/IP 端口也可通过安全通道转发。
 OpenSSH 是 OpenBSD 对上一个免费 SSH 的版本提供最新的安全和功能。
 此程序包中包含 OpenSSH 客户端和服务器必需的核心文件。若要使用此程序包您还应该安装 openssh-clients 和/或 openssh-server 。
 此版本修复的安全问题
 CVE-2014-2532 在低于 6.6 的 OpenSSH 中sshd 未正确支持 sshd_config 中的 AcceptEnv 行的通配符这可允许远程攻击者使用通配符字符前的子字符串绕过预期环境限制。
 CVE-2014-2653 OpenSSH 6.6 和较早版本中客户端的 sshconnect.c 中的 verify_host_key 函数允许远程服务器通过提供不可接受的 HostCertificate 来触发 SSHFP DNS RR 检查跳过。
 修复的缺陷:
 * 基于 SP800-131A 信息安全标准2013 年之后不允许使用密钥大小为 1024 位的数字签名算法 (DSA) 和密钥大小小于 2048 位的 RSA 生成数字签名。通过此更新修复了该问题。
 * 以前,openssh 实用工具错误地将其所有子进程的 oom_adj 值都设为 -17。此行为不正确因为子进程本应将此值设为 0。通过此更新 修复了此问题。
 * 以前,如果 sshd 服务无法使用 fipscheck 库验证安装的 FIPS 模块的校验和,那么只会在 sshd 的标准错误输出中提供关于此故障的信息。因此用户不会注意到此消息而在系统尚未针对 FIPS 模式进行正确配置时不会受到通知。通过此更新修复了该问题。
 * 使用 ssh-add -e 命令从 ssh 代理删除 pkcs11 库提供的密钥时会提示用户输入 PIN。通过此更新修复了该问题。
 增强:
 * 通过此更新,已将 ControlPersist 添加到 OpenSSH。与 ControlMaster 配置指令配合使用的选项指出,在关闭初始客户端连接之后,主连接在后台中保持打开状态。
 * 将 sshd 后台程序配置为强制执行内部 SFTP 会话,并且用户尝试使用 SFTP 之外的连接时,会将相应的消息记录到 /var/log/secure 文件。
 * 正如 RFC5656 所指定,openssh 程序包中已添加了对用于密钥交换 (ECDH) 和主机用户密钥 (ECDSA) 的椭圆曲线加密模式的支持。但是,默认情况下不会启用该支持,用户需要对其进行手动启用。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/5054

插件详情

严重性: Medium

ID: 291469

文件名: miracle_linux_AXSA-2014-596.nasl

版本: 1.1

类型: local

发布时间: 2026/1/19

最近更新时间: 2026/1/19

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 4.5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2014-2653

CVSS v3

风险因素: Medium

基本分数: 4.9

时间分数: 4.4

矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2014-2532

漏洞信息

CPE: p-cpe:/a:miracle:linux:openssh-clients, p-cpe:/a:miracle:linux:openssh, p-cpe:/a:miracle:linux:openssh-askpass, p-cpe:/a:miracle:linux:openssh-server, cpe:/o:miracle:linux:4

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/10/16

漏洞发布日期: 2014/3/18

参考资料信息

CVE: CVE-2014-2532, CVE-2014-2653