Добрый день
У меня
Red Hat Enterprise Linux Server release 5.5 (Tikanga)
стоит последняя доступная через yum версия openssh
[root@SecTest yum.repos.d]# rpm -qa | grep openssh
openssh-server-4.3p2-72.el5_7.5
openssh-askpass-4.3p2-72.el5_7.5
openssh-4.3p2-72.el5_7.5
openssh-clients-4.3p2-72.el5_7.5
Сканер безопасности говорит
-================
22/TCP - OpenSSH Server • Версия: 4.3
Подозрение на серьезную уязвимость
Выполнение произвольного кода
ID: 100599
C V E: C V E-2006-5051 , C V E-2006-5052
Краткое описание
Уязвимость позволяет удаленному атакующему выполнить произвольный код в системе с привилегиями уязвимого
приложения или вызвать отказ в обслуживании.
Описание
Уязвимость существует из-за ошибки в процедуре обработки служебных сигналов. Уязвимость позволяет
злоумышленнику аварийно завершить работу сервиса OpenSSH или выполнить произвольный код в системе. Для
эксплуатации уязвимости необходимо чтобы сервис использовал GSSAPI аутентификацию (параметр
GSSAPIAuthentication в файле конфигурации).
Уязвимые версии OpenSSH до версии 4.4
===========================через Yum установлена последняя версия, при попытке установить версию openssh-5.3p1-52.el6_1.2.i686.rpm скачанную вручную от 6 CentOS выскакивет много зависимостей.
Есть ли вариант установить свежую версию Openssh через YUM c подтягиванием зависимостей или ставить только из исходников версию выше 4.4 до 4.9 надеясь что не всплывут зависимости ?
И еще оди вопрос "лирический", как Rhel и СentOS не обеспечивает секьюрность храня в репозитариях старые уязвимые версии ПО (на сайте RHEL под зарегистрированным логином для версии 5.5 доступна тоже отлько версия 4.3p2-72.... ) , ведь эти версии еще на поддержке ?
http://centos.alt.ru/