[gelöst] Keine Patches / Updates für OpenSSH in Tumbleweed?

Hinweis: In dem Thema [gelöst] Keine Patches / Updates für OpenSSH in Tumbleweed? gibt es 15 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Hallo Leute,


    wie einige sicher aus der einschlägigen Presse wissen, gibt es aktuell ein paar Lücken in OpenSSH (CVE-2016-0777 und CVE-2016-0778 ). Die sollen mit Version Version 7.1p2 behoben sein.


    Nun finde ich allerdings kein entsprechendes Update (neuste angebotene Version ist 6.6p1-10.1). Auch gibt es keine Patches für Tumbleweed, wohl aber für alle anderen aktuellen Versionen (Leap, Evergreen, 13.1, 13.2, etc...): Security-Announcements


    Ich nutze Tumbleweed jetzt seit etwas über einem Jahr und dachte bisher, diese Version wird auch bezüglich der Sicherheit voll unterstützt. Hab ich etwas verpasst, ist Tumbleweed schon wieder out?


    Meine Repos sehen so aus: zypper lr


    Code
    # | Alias | Name | Aktiviert | GPG-Überprüfung | Aktualisieren
    --+-------------------------------------+--------------------------+-----------+-----------------+--------------
    1 | http-download.opensuse.org-eb0e095b | isv:heinlein-support | Ja | (r ) Ja | Ja
    2 | openSUSE-20150115-0 | openSUSE-20150115-0 | Nein | ---- | Ja
    3 | repo-debug | openSUSE-Factory-Debug | Nein | ---- | Ja
    4 | repo-non-oss | openSUSE-Factory-Non-Oss | Ja | (r ) Ja | Ja
    5 | repo-oss | openSUSE-Factory-Oss | Ja | (r ) Ja | Ja
    6 | repo-source | openSUSE-Factory-Source | Nein | ---- | Ja
    7 | repo-update | openSUSE-Factory-Update | Ja | (r ) Ja | Ja


    PS: "UseRoaming no" habe ich natürlich gesetzt.


    Grüssle,
    eMaze

    Einmal editiert, zuletzt von Trekkie00 ()

    Für den Inhalt des Beitrages 90623 haftet ausdrücklich der jeweilige Autor: eMaze

  • Warum so umständlich?
    Binde dir das network Repository für openSUSE Tumbleweed ein und installiere die gesuchte Version daraus.
    Aber bitte nicht vergessen die Priorität des Repositories vernünftig einzustellen.

  • Kennst Du diese Seiten:


    https://www.suse.com/security/cve/
    https://www.suse.com/security/cve/CVE-2016-0777.html
    https://www.suse.com/security/cve/CVE-2016-0778.html


    Da kannst Du sehen ab welcher Version die entsprechenden CVE Lücken in SLES und openSuSE gefixt sind.


    Fazit: Versionen >= 6.6p1-8.1 sind bei LEAP gefixt - ich denke das gilt dann auch für Tumbleweed 6.6p1-10.1

    Einmal editiert, zuletzt von wn48z ()

    Für den Inhalt des Beitrages 90627 haftet ausdrücklich der jeweilige Autor: wn48z

  • Man kann auch mit dem Zypper Befehl nach den CVE Patches suchen:


    Code
    # zypper list-patches --cve
    # zypper list-patches --cve=2016-0777


    Beispiel:

    Code
    # zypper list-patches --cve=2015-8704
    Loading repository data...
    Reading installed packages...
    Issue | No. | Patch | Category | Severity | Interactive | Status
    ------+---------------+------------------+----------+-----------+-------------+-------
    cve | CVE-2015-8704 | openSUSE-2016-70 | security | important | --- | needed


    Hier wird dann auch die Patchnummer von openSuSE angezeigt (openSUSE-2016-70), welche man im Link des Beitrages zuvor sieht. Wie sieht das bei Tumbleweed aus, wie werden dort die Patches benannt?

    Für den Inhalt des Beitrages 90629 haftet ausdrücklich der jeweilige Autor: wn48z

  • Klick mich
    Ich schreibe das nicht ohne Grund.
    Da ist die von dir gesuchte Version vorhandern (openssh-7.1p2-120.1.x86_64.rpm).

    Nur wenn er gleichzeitig auf Version 7.1 upgraden will. SuSE patcht die aktuellen Versionen im Upstream nicht ohne Grund und das ist oft die bessere Lösung weil ein Upgrade auch Nebeneffekte haben kann.

    Für den Inhalt des Beitrages 90630 haftet ausdrücklich der jeweilige Autor: wn48z

  • Hallo zusammen,


    danke für die vielen fundierten, hilfreichen Antworten.


    Alero, Trekkie00
    Ein weiteres Repo wollte ich nicht anbinden, wenn nicht unbedingt notwendig. Die neue Version brauche ich ja nicht unbedingt, sofern die alte entsprechend gefixt wird (siehe unten) Will ja nicht, daß die Kiste beim nächsten Upgrade die Grätsche macht. :D
    So lange Tumbleweed out-of-the-box gepflegt und aktuell gehalten wird, ist ja alles gut.


    wn48z
    Bei Tumbleweed sieht das so aus:


    # zypper list-patches --cve
    Loading repository data...
    Reading installed packages...
    No matching issues found.



    # zypper list-patches --cve=2016-0777
    Loading repository data...
    Reading installed packages...
    No matching issues found.



    # zypper list-patches
    Loading repository data...
    Reading installed packages...
    No updates found.


    Zu Patches und Tumbleweed habe ich nichts finden können, war ja auch bei den Security-Announcements (Link oben) nicht erwähnt.


    https://www.suse.com/security/cve/ -> Das ist wohl die Antwort auf meine Frage, auch wenn es natürlich wenig hilfreich ist, daß Tumbleweed/Factory nirgends explizit erwähnt wird (kein Wunder, daß Google dann nichts findet)...


    #grep -i "openssh|" /var/log/zypp/history
    2015-01-16 13:31:30|install|openssh|6.6p1-8.1|x86_64|root@cloud111|InstallationImage|a9f0baf12cd1147076b03800fddc458c81e5401b1e27456356912fd8a8cdefb3|
    2015-01-26 12:09:14|install|openssh|6.6p1-9.1|x86_64||repo-oss|633b52d857f0c8e49767f5dc2a8778d5b480d682|
    2015-02-04 09:10:26|install|openssh|6.6p1-9.2|x86_64||repo-oss|1499bcfd01fd551219b649f8493bd05f1f38543e|
    2015-07-09 09:53:33|install|openssh|6.6p1-9.4|x86_64||repo-oss|4b5f359287753f55fdd2442206a7f2987160aebb|
    2016-01-18 10:22:27|install|openssh|6.6p1-10.1|x86_64||repo-oss|f754414cd3f2292298190b4a49e9ef0f08111d22|


    Am 18.1. wurde auch eine neue Version installiert (die hoffentlich den Fix enthält).


    Dann kann ich ja nun wieder beruhigt schlafen. :)


    Grüssle,
    eMaze


    PS: mit ssh -v user@server konnte ich verifizieren, daß die Version gefixt worden ist (Roaming wird nirgends erwähnt). Puh...

    Einmal editiert, zuletzt von eMaze ()

    Für den Inhalt des Beitrages 90632 haftet ausdrücklich der jeweilige Autor: eMaze

  • Da ich mich in dieser Materie nicht auskenne und mir von daher der Umstand mit den Patches nicht bekannt war, habe ich lediglich auf deine Frage geantwortet.
    Wenn du jetzt eine Lösung für dich gefunden hast, mit der du besser schlafen kannst, umso besser.

  • Unter openSUSE 13.2:

    Code
    rpm -q --changelog openssh | grep 2016
    * Do Jan 14 2016 astieger@suse.com
    - CVE-2016-0777, bsc#961642, CVE-2016-0778, bsc#961645
    Add CVE-2016-0777_CVE-2016-0778.patch to disable the roaming code


    Code
    zypper se -si openssh
    Daten des Repositories laden ...
    Installierte Pakete lesen ...
    S | Name | Typ | Version | Arch | Repository
    --+-----------------+-------+---------------+--------+---------------------
    i | openssh | Paket | 6.6p1-5.3.1 | x86_64 | openSUSE-13.2-Update
    i | openssh-askpass | Paket | 1.2.4.1-8.1.3 | x86_64 | openSUSE-13.2-Oss
    i | openssh-helpers | Paket | 6.6p1-5.3.1 | x86_64 | openSUSE-13.2-Update


    Fazit:
    Erst schauen (funktioniert auch mit Yast----Software installieren)........