Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0698 [1.04]

Meerdere kwetsbaarheden verholpen in OpenSSH

27-09-2016 - De ontwikkelaars van OpenSSH hebben meerdere kwetsbaarheden verholpen in OpenSSH.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.04 #############################

Titel           : Meerdere kwetsbaarheden verholpen in OpenSSH
Advisory ID     : NCSC-2016-0698
Versie          : 1.04
Kans            : medium
CVE ID          : CVE-2015-8325, CVE-2016-6210, CVE-2016-6515
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20160927
Toepassing      : OpenSSH
Versie(s)       : < 7.3
                  < 7.3p1
Platform(s)     : IBM AIX
                  Linux

Update
   IBM heeft updates uitgebracht voor AIX die de kwetsbaarheden
   verhelpen. Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   De ontwikkelaars van OpenSSH hebben meerdere kwetsbaarheden
   verholpen in OpenSSH.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om een
   Denial-of-Service te veroorzaken, om toegang te krijgen tot
   systeemgegevens, om toegang te krijgen tot gevoelige gegevens of het
   verkrijgen van verhoogde gebruikersrechten.

Beschrijving
   - CVE-2016-6210
   Er bevindt zich een kwetsbaarheid in de servercomponenten van
   OpenSSH. Een ongeauthenticeerde kwaadwillende op afstand kan de
   kwetsbaarheid mogelijk misbruiken om te achterhalen welke
   gebruikersnamen gebruikt worden op een kwetsbaar systeem. Wanneer er
   een authenticatiepoging wordt ondernomen op een niet bestaande
   gebruiker zal SSHD een dummy password-structure gebruiken. Deze is
   gebaseerd op het Blowfish algoritme. Wanneer de wachtwoorden van
   echte gebruikers gehashed worden middels SHA256/SHA512 dan zal de
   validatietijd van deze wachtwoorden korter zijn dan wanneer het
   systeem de dummy password-structure gebruikt. De kwaadwillende kan
   middels de reactietijd van de server achterhalen of een
   gebruikersnaam bestaat.
   
   - CVE-2015-8325
   Indien de UseLogin-functie actief is en PAM is geconfigureerd om
   .pam_environment-bestanden uit gebruikersmappen te lezen, kan een
   lokale geauthenticeerde kwaadwillende deze kwetsbaarheid mogelijk
   misbruiken om verhoogde gebruikersrechten te verkrijgen.
   
   - CVE-2016-6515
   Er bevindt zich een kwetsbaarheid in wijze waarop OpenSSH omgaat met
   de crypt functie. Een kwaadwillende kan mogelijk een
   Denial-of-Service veroorzaken door zeer lange wachtwoorden aan te
   bieden.
   
   Er bevindt zich een kwetsbaarheid in de manier waarop OpenSSH een
   Message Authentication Code (MAC) verifieert. Een kwaadwillende kan
   mogelijk informatie achterhalen over versleutelde data door
   verschillen in reactietijd te observeren.

Mogelijke oplossingen
   De ontwikkelaars van OpenSSH hebben updates uitgebracht waarin de
   kwetsbaarheden zijn verholpen. Zie voor meer informatie:
   
   http://www.openssh.com/txt/release-7.3
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 24 om de
   kwetsbaarheid met CVE-ID CVE-2016-6515 te verhelpen. U kunt deze
   updates installeren met behulp van het commando 'dnf' of 'yum'. Meer
   informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   https://bodhi.fedoraproject.org/updates/FEDORA-2016-4a3debc3a6
   
   -= IBM =-
   IBM heeft updates beschikbaar gesteld voor IBM AIX die de
   kwetsbaarheid verhelpen. Meer informatie vindt u op de volgende
   pagina:
   
   http://aix.software.ibm.com/aix/efixes/security
      /openssh_advisory9.asc
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheden met CVE-ID CVE-2016-6210 en CVE-2016-6515 te
   verhelpen in OpenSUSE Leap 42.1. U kunt deze aangepaste packages
   installeren door gebruik te maken van 'zypper'. U kunt ook gebruik
   maken van YAST of de updates handmatig downloaden van de SUSE
   FTP-server (ftp.suse.com). Voor meer informatie, zie:
   
   https://lists.opensuse.org/opensuse-updates/2016-09/msg00068.html
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden met
   CVE-ID CVE-2016-6210 en CVE-2016-6515 te verhelpen in SUSE 11 en 12.
   U kunt deze aangepaste packages installeren door gebruik te maken
   van 'YaST'. U kunt de packages ook handmatig downloaden van de SUSE
   FTP-server (ftp.suse.com). Voor meer informatie, zie:
   
   SUSE 11:
   http://lists.suse.com/pipermail/sle-security-updates/2016-September
      /002266.html
   
   SUSE 12:
   http://lists.suse.com/pipermail/sle-security-updates/2016-September
      /002265.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS,
   14.04 LTS en 16.04 LTS om de kwetsbaarheden met CVE-ID CVE-2016-6210
   en CVE-2016-6515 te verhelpen. U kunt de aangepaste packages
   installeren door gebruik te maken van 'apt-get update' en 'apt-get
   upgrade'. Meer informatie kunt u vinden op onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-3061-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=UlNT
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017