複数のscp(OpenSSH)の脆弱性情報(Moderate: CVE-2019-6109, CVE-2019-6110, CVE-2019-6111)

[関連リンク(最新5件)]

OpenSSH(scp)の脆弱性情報(Important: CVE-2018-20685)

libsshの脆弱性情報(Important: CVE-2018-10933)

Python ParamikoをSSHサーバとして用いている際の脆弱性(Critical: CVE-2018-1000805)

OpenSSHの脆弱性情報(CVE-2018-15473 , CVE-2018-15919)

一次情報源

scp client multiple vulnerabilities

(一次情報源には、この他に先日のこちらの情報も含まれています)。

Priority

• CVE-2019-6109

  Moderate(SuSE)/Low(Red Hat)

  • SuSE
    • CVSS v3 Base Score: 4.6
    • Vector: AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L
  • Red Hat Customer Potal
    • CVSS v3 Base Score: 3.1
    • Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
  • NVD
    
• CVE-2019-6110

  Moderate(SuSE)/Low(Red Hat)

  • SuSE
    • CVSS v3 Base Score: 4.6
    • Vector: AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L
  • Red Hat Customer Potal
    • CVSS v3 Base Score: 3.1
    • Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
  • NVD
    
• CVE-2019-6111

  Moderate

  • SuSE
    • CVSS v3 Base Score: 4.6
    • Vector: AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L
  • Red Hat Customer Potal
    • CVSS v3 Base Score: 5.3
    • Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N
  • NVD
    

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6109
  • scpクライアントでのオブジェクト名検証の不足
  • 重要度 – Moderate
  • scpが1983年のrcpの派生から来ているため、サーバはどのファイル／ディレクトリをクライアントに送るかを決めることが出来ます。しかしながら、scpクライアントは返されたオブジェクト名に対してぞんざいな検証(ディレクトリトラバーサル攻撃が防がれているかの検証だけ）しかしていません。悪意のあるscpサーバはscpクライアントのターゲットディレクトリ中の任意のファイルを上書きすることが可能です。再起操作(-r)が実行された場合には、サーバはサブディレクトリに対しても操作が可能です（例えば、.ssh/authorized_keysの上書きなど）。これはWinSCPでCVE-2018-20684として知られている脆弱性と同じです。
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6110
  • scpクライアントの表示をオブジェクト名で偽装できる可能性
  • 重要度 – Moderate
  • 進行状況を表示する文字エンコードが欠如しているため、オブジェクト名を使用してクライアントの表示を操作することが可能です。例えば、ANSIコードを用いて転送中の追加ファイルを隠す等です。
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111
  • scpクライアントの表示をオブジェクト名で偽装できる可能性
  • 重要度 – Moderate
  • scpサーバからの任意のstderr表示を受け付けるため、悪意のあるサーバはクライアントの表示を操作することが可能です。例えば、ANSIコードを用いて転送中の追加ファイルを隠す等です。

PoC

PoCは後日公開される予定だそうです。公開され次第、情報を更新します。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian

  https://security-tracker.debian.org/tracker/CVE-2019-6109

  https://security-tracker.debian.org/tracker/CVE-2019-6110

  https://security-tracker.debian.org/tracker/CVE-2019-6111

• Red Hat Enterprise Linux/CentOS

  https://access.redhat.com/security/cve/CVE-2019-6109

  https://access.redhat.com/security/cve/CVE-2019-6110

  https://access.redhat.com/security/cve/CVE-2019-6111

• Ubuntu
  
• SUSE/openSUSE

  https://www.suse.com/security/cve/CVE-2019-6109.html

  https://www.suse.com/security/cve/CVE-2019-6110.html

  https://www.suse.com/security/cve/CVE-2019-6111.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

scp client multiple vulnerabilities

セキュリティ系連載案内

• OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
• OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
• OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
• OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
• OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
• OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。