[gelöst] Keine Patches / Updates für OpenSSH in Tumbleweed?

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Hinweis: In dem Thema [gelöst] Keine Patches / Updates für OpenSSH in Tumbleweed? gibt es 15 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • [gelöst] Keine Patches / Updates für OpenSSH in Tumbleweed?

    Hallo Leute,

    wie einige sicher aus der einschlägigen Presse wissen, gibt es aktuell ein paar Lücken in OpenSSH (CVE-2016-0777 und CVE-2016-0778 ). Die sollen mit Version Version 7.1p2 behoben sein.

    Nun finde ich allerdings kein entsprechendes Update (neuste angebotene Version ist 6.6p1-10.1). Auch gibt es keine Patches für Tumbleweed, wohl aber für alle anderen aktuellen Versionen (Leap, Evergreen, 13.1, 13.2, etc...): Security-Announcements

    Ich nutze Tumbleweed jetzt seit etwas über einem Jahr und dachte bisher, diese Version wird auch bezüglich der Sicherheit voll unterstützt. Hab ich etwas verpasst, ist Tumbleweed schon wieder out?

    Meine Repos sehen so aus: zypper lr

    Brainfuck-Quellcode

    1. # | Alias | Name | Aktiviert | GPG-Überprüfung | Aktualisieren
    2. --+-------------------------------------+--------------------------+-----------+-----------------+--------------
    3. 1 | http-download.opensuse.org-eb0e095b | isv:heinlein-support | Ja | (r ) Ja | Ja
    4. 2 | openSUSE-20150115-0 | openSUSE-20150115-0 | Nein | ---- | Ja
    5. 3 | repo-debug | openSUSE-Factory-Debug | Nein | ---- | Ja
    6. 4 | repo-non-oss | openSUSE-Factory-Non-Oss | Ja | (r ) Ja | Ja
    7. 5 | repo-oss | openSUSE-Factory-Oss | Ja | (r ) Ja | Ja
    8. 6 | repo-source | openSUSE-Factory-Source | Nein | ---- | Ja
    9. 7 | repo-update | openSUSE-Factory-Update | Ja | (r ) Ja | Ja


    PS: "UseRoaming no" habe ich natürlich gesetzt.

    Grüssle,
    eMaze

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Trekkie00 ()

    Für den Inhalt des Beitrages 90623 haftet ausdrücklich der jeweilige Autor: eMaze

  • Für den Inhalt des Beitrages 90624 haftet ausdrücklich der jeweilige Autor: Alero

  • Warum so umständlich?
    Binde dir das network Repository für openSUSE Tumbleweed ein und installiere die gesuchte Version daraus.
    Aber bitte nicht vergessen die Priorität des Repositories vernünftig einzustellen.

    Für den Inhalt des Beitrages 90626 haftet ausdrücklich der jeweilige Autor: Trekkie00

  • Kennst Du diese Seiten:

    suse.com/security/cve/
    suse.com/security/cve/CVE-2016-0777.html
    suse.com/security/cve/CVE-2016-0778.html

    Da kannst Du sehen ab welcher Version die entsprechenden CVE Lücken in SLES und openSuSE gefixt sind.

    Fazit: Versionen >= 6.6p1-8.1 sind bei LEAP gefixt - ich denke das gilt dann auch für Tumbleweed 6.6p1-10.1

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von wn48z ()

    Für den Inhalt des Beitrages 90627 haftet ausdrücklich der jeweilige Autor: wn48z

  • Klick mich
    Ich schreibe das nicht ohne Grund.
    Da ist die von dir gesuchte Version vorhandern (openssh-7.1p2-120.1.x86_64.rpm).

    Für den Inhalt des Beitrages 90628 haftet ausdrücklich der jeweilige Autor: Trekkie00

  • Man kann auch mit dem Zypper Befehl nach den CVE Patches suchen:

    Quellcode

    1. # zypper list-patches --cve
    2. # zypper list-patches --cve=2016-0777


    Beispiel:

    Brainfuck-Quellcode

    1. # zypper list-patches --cve=2015-8704
    2. Loading repository data...
    3. Reading installed packages...
    4. Issue | No. | Patch | Category | Severity | Interactive | Status
    5. ------+---------------+------------------+----------+-----------+-------------+-------
    6. cve | CVE-2015-8704 | openSUSE-2016-70 | security | important | --- | needed


    Hier wird dann auch die Patchnummer von openSuSE angezeigt (openSUSE-2016-70), welche man im Link des Beitrages zuvor sieht. Wie sieht das bei Tumbleweed aus, wie werden dort die Patches benannt?

    Für den Inhalt des Beitrages 90629 haftet ausdrücklich der jeweilige Autor: wn48z

  • Trekkie00 schrieb:

    Klick mich
    Ich schreibe das nicht ohne Grund.
    Da ist die von dir gesuchte Version vorhandern (openssh-7.1p2-120.1.x86_64.rpm).
    Nur wenn er gleichzeitig auf Version 7.1 upgraden will. SuSE patcht die aktuellen Versionen im Upstream nicht ohne Grund und das ist oft die bessere Lösung weil ein Upgrade auch Nebeneffekte haben kann.

    Für den Inhalt des Beitrages 90630 haftet ausdrücklich der jeweilige Autor: wn48z

  • [GELÖST] Keine Patches / Updates für OpenSSH in Tumbleweed?

    Hallo zusammen,

    danke für die vielen fundierten, hilfreichen Antworten.

    @Alero, @Trekkie00
    Ein weiteres Repo wollte ich nicht anbinden, wenn nicht unbedingt notwendig. Die neue Version brauche ich ja nicht unbedingt, sofern die alte entsprechend gefixt wird (siehe unten) Will ja nicht, daß die Kiste beim nächsten Upgrade die Grätsche macht. :D
    So lange Tumbleweed out-of-the-box gepflegt und aktuell gehalten wird, ist ja alles gut.

    @wn48z
    Bei Tumbleweed sieht das so aus:

    # zypper list-patches --cve
    Loading repository data...
    Reading installed packages...
    No matching issues found.


    # zypper list-patches --cve=2016-0777
    Loading repository data...
    Reading installed packages...
    No matching issues found.


    # zypper list-patches
    Loading repository data...
    Reading installed packages...
    No updates found.

    Zu Patches und Tumbleweed habe ich nichts finden können, war ja auch bei den Security-Announcements (Link oben) nicht erwähnt.

    suse.com/security/cve/ -> Das ist wohl die Antwort auf meine Frage, auch wenn es natürlich wenig hilfreich ist, daß Tumbleweed/Factory nirgends explizit erwähnt wird (kein Wunder, daß Google dann nichts findet)...

    #grep -i "openssh|" /var/log/zypp/history
    2015-01-16 13:31:30|install|openssh|6.6p1-8.1|x86_64|root@cloud111|InstallationImage|a9f0baf12cd1147076b03800fddc458c81e5401b1e27456356912fd8a8cdefb3|
    2015-01-26 12:09:14|install|openssh|6.6p1-9.1|x86_64||repo-oss|633b52d857f0c8e49767f5dc2a8778d5b480d682|
    2015-02-04 09:10:26|install|openssh|6.6p1-9.2|x86_64||repo-oss|1499bcfd01fd551219b649f8493bd05f1f38543e|
    2015-07-09 09:53:33|install|openssh|6.6p1-9.4|x86_64||repo-oss|4b5f359287753f55fdd2442206a7f2987160aebb|
    2016-01-18 10:22:27|install|openssh|6.6p1-10.1|x86_64||repo-oss|f754414cd3f2292298190b4a49e9ef0f08111d22|

    Am 18.1. wurde auch eine neue Version installiert (die hoffentlich den Fix enthält).

    Dann kann ich ja nun wieder beruhigt schlafen. :)

    Grüssle,
    eMaze

    PS: mit ssh -v user@server konnte ich verifizieren, daß die Version gefixt worden ist (Roaming wird nirgends erwähnt). Puh...

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von eMaze ()

    Für den Inhalt des Beitrages 90632 haftet ausdrücklich der jeweilige Autor: eMaze

  • Da ich mich in dieser Materie nicht auskenne und mir von daher der Umstand mit den Patches nicht bekannt war, habe ich lediglich auf deine Frage geantwortet.
    Wenn du jetzt eine Lösung für dich gefunden hast, mit der du besser schlafen kannst, umso besser.

    Für den Inhalt des Beitrages 90634 haftet ausdrücklich der jeweilige Autor: Trekkie00

  • Unter openSUSE 13.2:

    Quellcode

    1. rpm -q --changelog openssh | grep 2016
    2. * Do Jan 14 2016 astieger@suse.com
    3. - CVE-2016-0777, bsc#961642, CVE-2016-0778, bsc#961645
    4. Add CVE-2016-0777_CVE-2016-0778.patch to disable the roaming code


    Brainfuck-Quellcode

    1. zypper se -si openssh
    2. Daten des Repositories laden ...
    3. Installierte Pakete lesen ...
    4. S | Name | Typ | Version | Arch | Repository
    5. --+-----------------+-------+---------------+--------+---------------------
    6. i | openssh | Paket | 6.6p1-5.3.1 | x86_64 | openSUSE-13.2-Update
    7. i | openssh-askpass | Paket | 1.2.4.1-8.1.3 | x86_64 | openSUSE-13.2-Oss
    8. i | openssh-helpers | Paket | 6.6p1-5.3.1 | x86_64 | openSUSE-13.2-Update


    Fazit:
    Erst schauen (funktioniert auch mit Yast----Software installieren)........
    Links in dieser Signatur bitte zum Lesen anklicken!

    Code-Tags <<<Klick mich
    zypper <<<Klick mich
    Netzwerkprobleme <<<Klick mich

    Für den Inhalt des Beitrages 90637 haftet ausdrücklich der jeweilige Autor: Sauerland